kl800.com省心范文网

长郡中学校园网络建设方案


投 标 书
——网络部分 项 目名称 :长 郡中学 新校 区弱电 工程 及智能化系统方案设计

二○○七年十二月

0





第一章 用户背景与需求 .................................................. 3 1.1长郡中学校园网概况 .............................................. 3 1.2长郡中学需求 .................................................... 3 1.3校园网其他建设目标 .............................................. 4 1.3.1校区主干电缆布设........................................... 5 1.3.2网络系统需求 .............................................. 5 第二章 网络设计原则与设备选型........................................... 6 2.1 设计原则 ....................................................... 6 2.1.1高性能、可升级............................................. 6 2.1.2基于应用层的QoS保证........................................ 6 2.1.3高可靠性 .................................................. 6 2.1.4先进性、性价比............................................. 6 2.1.5易管理、易维护............................................. 6 2.1.6互操作性 .................................................. 7 2.1.7可扩展性 .................................................. 7 2.2 校园网总体方案设计 ............................................. 7 2.3 校园网设备选型 ................................................ 10 2.3.1 校园网核心设备选择....................................... 10 2.3.2 校园网汇聚设备选择....................................... 11 2.3.3 校园网接入设备选择....................................... 11 2.3.4 校园网安全设备选择....................................... 11 2.4 网络的拓扑结构 ................................................ 12 第三章 网络管理系统设计 ............................................... 13 3.1 网络管理的目标 ................................................ 13 3.2 网络管理的功能 ................................................ 14 3.3 网络管理的组成 ................................................ 17 3.4 网络管理的具体实现 ............................................ 18 第四章 认证与管理 ..................................................... 28 4.2 认证系统设计原则 .............................................. 28 4.3 认证计费方案概述 .............................................. 28 第五章 网络方案特点设计 ............................................... 32 5.1 稳定可靠 ...................................................... 32 5.2 高性能 ........................................................ 32 5.3 VLAN管理 ...................................................... 32 5.4 全线产品QOS支持 ............................................... 32 5.5 易于扩展升级 .................................................. 33 5.6 完善的网络管理 ................................................ 33 第六章 方案涉及产品简介 ............................................... 34 6.1 神州数码DCRS-6808系列路由交换.................................. 34 6.2 神州数码万兆IPV6汇聚交换机DCRS-5950系列 ........................ 40 6.3 神州数码DCS-3950系列交换机..................................... 48 6.4 神州数码运营商级千兆防火墙DCFW-1800E-G: ........................ 51
1

6.5 LinkManager网络管理系统........................................ 53 6.6 认证计费系统DCBI-3000.......................................... 55 第七章 售后服务承诺、培训 ............................................. 62 7.1 售后服务形式 .................................................. 62 7.2 响应服务模式 .................................................. 62 7.3 技术咨询服务 .................................................. 63 7.4 不定期的走访 .................................................. 63 7.5 远程登录服务 .................................................. 63 7.6 现场技术支持 .................................................. 63 7.7 重要设备备件 .................................................. 64 7.8 售后服务承诺 .................................................. 64 7.9 人员培训 ...................................................... 65 7.10 神州数码网络学大学............................................ 65 第八章 网络应用 ...................................................... 67 8.1 管理信息系统 .................................................. 67 8.2 图书管理系统 .................................................. 67 8.3 多媒体教学系统 ................................................ 68 8.4 远程教育系统 .................................................. 68 8.5 网上招生 ...................................................... 68 8.6 电子教育(E-Learning)......................................... 68 8.7 新生培训 ...................................................... 69 8.8 图书资源共享 .................................................. 70 8.9 期刊上网 ...................................................... 70 8.10 多媒体课件共享 ............................................... 70 8.11 IC卡校园一卡通系统............................................ 70

2

第一章 用户背景与需求
1.1长郡中学校园网概况
长郡中学是具有百年历史的国内著名高级中学,经市政府批准,将在岳麓 区生态新城建设其河西新校区。新校地处岳麓生态新城中心,位于市政府大院 以北约1公里处,观沙路以西,金星路以东,茶山路以北。学校规划60个高中 班,规划学生人数3000人。校园总建筑面积约7.7万平方米,校园总体布局借 鉴岳麓书院的中轴对称, 纵深多进的院落形式, 主体建筑均集中于中轴线两侧, 营造一种庄严、素雅的空间纵深感,校区设计网络节点2000个左右,万兆核

心,全千兆骨干汇聚,百/千兆到桌面。

1.2长郡中学需求
根据学校统一规划,按照长郡中学的实际网络需求,在校区网络的建 设中,应采用先进的技术和设备,建成一个高效、实用、可靠、安全,能 够实现校内及与INTERNET之间的数据传输,具备虚网管理、高扩展性和完 善网络管理功能的局域网。长郡中学新校区将建设成为以办公管理自动化、 计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托, 技术先进、扩展性强、能覆盖全校主要楼宇及公共设施的智能化数字校园 网络。 网络系统将设计成为数字化校园建设的重要基础平台,除了为上层各 类应用系统的数据传输提供高速通道之外,同时也是大多数弱电智能化系 统(例如综合安保、多媒体教学、一卡通、电子公告等)的主要传输通道 之一。校园网平台不仅能够充分满足学校目前的应用需求,而且在未来相 当一段时间范围内也能够实现硬件升级提升。 通过校园网络的设计和建设,长郡中学将建设成为一个高水平的智能 化校园。可以在长郡中学新校区建设一个以办公管理自动化、计算机辅助 教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、
3

扩展性强、能覆盖全校主要楼宇及公共设施的智能化校园网络。 长郡中学园区计算机网络系统能实现全校建筑物的互联,为长郡中学 各类人员提供各种不同的信息服务,满足长郡中学教学管理和科研的需要。 计算机网络的建立是学校实行现代化教学的重要途径之一,是适应下一世 纪高信息化教学的一项基础性建设。校园网的设计充分考虑为学校建立一 个技术先进、可扩展的、覆盖全院区域的网络,将长郡中学的各种PC机、 工作站、终端设备连接起来,提供一个统一的计算机通信平台。

1.3校园网其他建设目标
网络系统建设的总体目标是综合运用计算机技术、网络技术、通讯技 术,建设一个集先进性、开放性、稳定性、实用性、扩展性为一体的千兆 主干,百兆桌面的千兆以太网络系统,同时接入INTERNET和教育城域网, 实现高质、高效的数据、语音、视频传输,为长郡中学的教育教学现代化、 办公自动化、信息资源共享化,构造良好的网络平台。 校园网应能为全校师生提供一个先进开放、实用的计算机网络环境。 也就是说,为师生提供包括网上辅助教学、科研活动、图书情报资料检索、 学校行政管理管理信息系统和现代化通信的网络服务。 校园网建成以后应能满足现代化教学及管理需要,实现教育现代化、、 提高教学水平,通过计算机信息管理系统提高学校日常管理的效率,通过 计算机网络加强学校之间的资源共享、学校与家长之间的沟通。为此,校 园网应达到以下目标: 1.实现教学管理网络化。同时,实现学校各部门办公自动化,提高学 校管理工作效率。 2.保证网络系统的开放性、可持续发展性,便于将来集成视频点播、 远程教学等功能。 3.网络系统必须安全可靠,保证教学数据的安全运行,并能满足学校 不断发展的需要。 4. 校园网内的用户可以方便地接入INTERNET或CERNET,实现真正意义
4

上的数据共享、信息共享。 1.3.1校区主干电缆布设 设立网络管理中心,建议采用超五类或六类电缆,以千兆带宽连接校 园内各栋建筑。 1.3.2网络系统需求 校园网络对于设备的要求: ? 系统稳定可靠,兼容性好,扩展性高,网络要求采用千兆主干, 百兆到桌面; ? ? 主干实现三层的交换功能,网络具有组播、QOS等功能; 有相应的网管软件,对校园内网络设备,完成流量监控、设备配 置、故障定位、QOS等管理功能; ? 接入教育科研网或因特网,与现有校园网无缝连接;

5

第二章 网络设计原则与设备选型
2.1 设计原则
2.1.1高性能、可升级 在方案设计方面,充分满足现在校园网络的通信需求,结合学校未来 三到五年的规划,选择可以满足未来需求的产品,或者指定严谨、可实施 性强的升级方案,应能够根据需要大幅度提高网络互联带宽及网络核心的 路由交换性能,避免因网络应用升级带来的网络瓶颈。 2.1.2基于应用层的QoS保证 在设计中可以通过QoS功能的实施,保证网络对服务质量的特殊需求。 通过为带宽敏感的应用,如视频应用,分配高优先级和QoS来确保关键 应用可以获得所需的带宽和资源。 2.1.3高可靠性 包括网络的设备和拓扑结构,采用稳定可靠品牌和结构形式,以保证 整个网络的高可靠性。主要网络设备支持冗余容错手段比如交换机采用双 引擎,双电源,具有热插拔功能,可在线维护,排除故障。 2.1.4先进性、性价比 在技术上要选择当前的国际主流的设备水平,以适应近期和未来一段 时期大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分 考虑未来的发展,但绝不应该追求不成熟的网络技术,综合选用性能价格 比高的产品品牌。 2.1.5易管理、易维护 整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊
6

断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可 能选取集成度高、模块化、可通用的产品,以便于管理和维护。 2.1.6互操作性 互操作性既代表着多厂家的网络产品与本主干网络连接的能力,同时 也代表着本网络与其它服务提供商网络之间互联的能力,这两种情况将经 常会遇到,所以非常重要。 2.1.7可扩展性
系统应以网络应以开放性为基础,具有广泛的适应性和可扩充性, 尤其作为一 个骨干网的核心,下面的一些新的应用将不断增加,系统的容量也将随之扩展,因此 方案应具有良好的可扩充性适应系统不断增长的需求(如从主干网络设备的选型及模 块、插槽个数和网络的整体构架多种方面来考虑)。

2.2 校园网总体方案设计
根据校园网建设的基本要求和长郡中学的具体情况,我们为校园网设 计了一个性能价格比最优的方案,为用户在节约资金的前提下,在网络性 能和可靠性上提供足够的保证。 校园网总体方案的设计主要考虑网络主干类型和主干交换设备的选 择。 网络主干由主干交换机和分布在各建筑中的主干节点以及之间的光纤 组成。需要选择适当的高速交换机作为网络的主干核心,这关系到网络的 整体性能和系统的灵活性。主干设计是本方案的重点之一,主干网的选择 要考虑带宽、可靠性、先进性等特点,要以当前及未来网络技术的发展和 业务量的发展为基础,同时兼顾资金的承受能力。主干网络设计得好坏直 接影响到本校园网设计的成败。 当前,各种新的应用及高速处理机和主机系统的发展,对网络吞吐率 及带宽性能的要求越来越高。多媒体应用的出现,更要求现代网络能适应 高带宽、低时延的要求,同时由于WEB浏览器应用不断扩大,更要求IP网络
7

的性能不断优化。校园网的用户对网络的需求已经不再满足于对文件及打 印的共享,而是对高速及更多带宽网络的需求,包括诸如: ☆ 分布式处理; ☆ 客户机服务器应用; ☆ 图形图像及动画应用; ☆ 混合数据、声音和图像的多媒体应用 ? 千兆以太网 因为当前大部分局域网均使用以太网方式,而且所有网络操作系统与 上层协议均与以太网兼容,这就使以太网仍成为未来的主流。在许多的高 速网络中快速以太网占有极大的比率,因而从 10BASE-T升级至100BASE-TX 到1000甚至10G非常容易,而且可以做到完全无缝式的升级,所以在千兆以 太网的标准已经基本制定的今天,千兆以太网已成为校园网主干的首选。 在校园网络建设中,除非有条件,有特殊需求和环境限制,一般在考 虑要求较高的主干协议时恐怕千兆以太网应当首先考虑。对于学校而言, 选用千兆以太网更为实际一些。 ? VLAN-虚拟网和第三层交换技术

(一)为何使用虚拟网 用第二层交换机使网络速度提升,可是在网络中使用过多的交换机, 所有交换机所架构的网络可能会形成广播风暴,在大型网络中采用 VLAN技 术可以分隔网段,减少广播。 另外,从网络安全的角度考虑,将不同等级的用户放在不同的虚拟网 内,也有助于网络的安全。一个虚拟网定义了一个碰撞域,交换机在一个 虚拟网内部进行广播,广播控制在一个虚拟网内。不同虚拟网之间的通讯 不能由第二层的交换实现,只能通过路由。 VLAN建立阶梯式网络结构的工具, 在由集线器及路由器组成的网络中, 以太网网段就相当于一个碰撞域,而一个碰撞域就是路由器的一个端口; 而在TCP/IP网络中,一个VLAN 相当于一个IP子网。 VLAN将是一个大型网络分隔成相对小的网络以隔离广播 VLAN并不是每个网络均需要,中小型网络可以均处于一个碰撞域

8

(二)虚拟网的分类 虚拟网主要分为三类:基于端口,基于MAC地址,基于协议划分 基于端口的VLAN 此种VLAN的划分是基于每个交换器的端口 优势:设置简单,设置最多的VLAN数等于交换机的端口数 缺点:VLAN设置固定,不能根据用户而进行移动 基于MAC地址的VLAN 基于MAC地址的VLAN,是以连接于网络上的PC的MAC地址作为分隔VLAN 的依据,一个VLAN就是一组MAC地址。 优势:用户的VLAN不受端口及位置的限制,自动跟踪 缺点:设置复杂 基于协议的VLAN 当前使用的基本上为基本于802。1Q的VLAN划分方法,每个IP/IPX子网 即为一个VLAN。 优势:用户可以任意移动,设置简单 (三)VLAN之间的通信 在各个VLAN之间进行通信要通过路由器或使用具有第三层交换的交换 机。 (四)第三层交换技术 顾名思义,第三层交换器就是将第二层的交换机与第三层的路由器合 二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形 成了第三层交换机。 第三层交换出现因于ATM与交换机的技术背景, 因为传统的网络是由路 由器作为中心的。使用第二层交换机使用网络速度提升,可是在网络中使 用过多的交换机,所有交换机所架构的网络可能会形成广播风暴,所以需 要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶 颈,就形成了第三层交换。 VLAN将广播域进行分割,但透过VLAN进行通讯则必须通过路由器进行 转发。为了保证VLAN之间的通信需要选择路由器进行连接,但是由于路由

9

器速度的问题,采用路由器的结构会造成网络的延迟增大,这就需要使用 第三层交换的交换机以减少网络延迟。 基于以上分析, 在大型网络中采用VLAN技术可以分隔网段,减少广播, 但是,当前的信息量并不只是停留在同一个 VLAN之内,为了保证VLAN之间 的通信需要选择路由器进行连接。因路由器速度的问题,采用路由器的结 构会造成网络的延迟加大,这就需要使用第三层交换的交换器以减少网络 延迟。 对校园网建设来说,由于网络流量较大,且网络应用分散,各个子网 间的网络流量相对较小,但网络的安全比较重要,故最好采用三层以太网 交换机作网络主干,以便建立跨网络主干的VLAN。 千兆以太网技术与虚拟网和第三层路由交换技术结合以后,使得基于 第三层交换的千兆以太网的功能更加强大。 通过对当前先进的和成熟的网络技术的分析和比较,校园网主干采用 基于第三层交换的千兆以太网。

2.3 校园网设备选型
2.3.1 校园网核心设备选择 核心设备必须具有较高的可靠性,并且在性能、扩展性方面满足未来 网络扩展的要求,但又不必一味地追求核心设备的高性能、高扩展性。 核心设备必须具有较高的三层包转发能力,支持IEEE 802.1p协议,对 音频、视频等服务的Qos要求提供有力保证。 支持IGMP、DVMRP、MSDP、PIM DM/SM等组播协议,保证学校实施VOD、 网络电视和多媒体课件等应用; 较高的可靠性,减少网络管理人员的维护工作量,减少设备宕机给学 校带来的损失。 设备应支持中文图形化的管理软件,便于及时定位、排除网络异常。 根据我们的使用经验,结合我们对长郡中学系统需求的分析,我们推

10

荐选用神州数码 DCS-6808核心路由交换机作为核心设备。

2.3.2 校园网汇聚设备选择 汇聚层是接入层和核心层的分界点,并且用来分辨和区别骨干。提供 基于策略的连接,在长沙高等师范校园网内,汇聚层主要作为办公楼、教 学楼、各学生公寓、图书馆等的汇聚点。我们建议采用万兆路由交换机 DCRS-5950-28T。 2.3.3 校园网接入设备选择 根据神州数码交换机在国内多所学校的应用经验,我们认为校园内各 个建筑的接入交换机应当具有良好的性能价格比,高可靠性,同时应选用 可网管的交换机,降低维护工作的工作量,结合核心设备的选型,我们建 议接入交换机选用神州数码 DCS-3950系列安全接入交换机。根据各个建筑 内布线系统管理间所管理的布线节点数量的不同,分别配置不同数量的神 州数码DCS-3950系列交换机。

2.3.4 校园网安全设备选择 从目前网络现状来看,整个网络都处于一种很不安全的状态。各种病 毒,以及网络攻击层出不穷。 防火墙可以在内部网络与外部网络之间形成一道安全保护屏障,防止 非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这 类非法和恶意的网络行为破坏内部网络。防火墙是实现网络边界隔离的首 选设备,它可以让用户在一个安全屏障后接入互联网,还可以把单位的公 共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服 务器与网络逻辑分离,进行重点防护。部署防火墙的目的就是保护一个网 络不受来自另外网络的攻击。 所以,建议在出口处放置一台DCFW-1800E-G千兆运营级防火墙。

11

2.4 网络的拓扑结构
根据我们对用户需求的理解,结合我们对校园网的建设经验,提出如 下的网络拓扑:

12

第三章 网络管理系统设计
校园网就是一个网络化、 数字化、 智能化有机结合的新型教育和学习的 校园平台。而高度发达的计算机网络是信息化校园的核心技术支撑。具体 的形式就是在校园内组建计算机网络,它将行政管理、教学服务、研究开 发等各类系统连接起来并与互联网连接,实现系统间的信息交换和信息服 务,校园的教学、科研资源与社会知识资源的高度整合,使信息化校园成 为完全开放、超越时空的校园平台和知识枢纽。所以网络管理就显得十分 重要。

3.1 网络管理的目标
根据用户需求,网络管理要达到以下目标: 1、网络监控:能监视网络的运行状态,控制网络路由和流量,分析运 行记录和报警信息。 2、性能控制:能根据网络应用状态、负荷状态、网络利用率,合理调 整网络性能。 3、故障管理:为确保网络系统的高稳定性,在网络出现问题时,必须 能及时觉察问题的所在。 4、效率管理:能有效评估网络系统的运行、统计网络资源的运用及各 种通讯协议的传输量等状态。 5、网络安全管理:提供用户身份认证,实现访问控制,能对用户权限 以及用户帐户进行管理和维护;提供加密和密匙管理功能;能监控网络的 运行状态。 6、运行管理:必须符合网络运行的技术标准,提供可靠性、安全性和 运行制度。

13

3.2 网络管理的功能
随着网络规模的日益扩大, 结构的日益复杂,网络管理和维护的难度也 越来越大,网络管理已成为系统管理中最基本和最重要的组成部分。由于 长郡中学校园网规模大,设备多,构成复杂,所以校园网的网管系统应能 实现以下功能: 1、权限与认证管理: 网管系统应能提供全面的权限与认证管理功能, 具有统一的安全单点登 录机制,通过认证体系确认用户身份,并以此控制用户对全网各种信息资 源的访问权限,实现基于角色的非自主授权访问控制和多级安全控制。一 方面,网络管理系统提供网管系统自身的安全管理功能,如:系统管理用 户权限设置、用户口令设置等,并通过建立权限与认证管理机制,可以及 时报告工作站系统用户使用状态;另一方面,网络管理系统实现了保存所 有非法用户对网络入侵记录的功能,对非法用户尝试超级用户口令及登录 超级用户进行报警与记录;而网络系统设备和网管系统的配合则建立授权 检查程序以保护网管应用和网络设备不受非授权用户的访问。 2、控制与配置管理: 网管系统应能提供远程控制功能, 允许管理员控制和接管安装了管理代 理的远端系统,监视远端设备运行。可以方便地向单一远程系统发送按键 和鼠标命令,在管理控制台上显示该远程系统的图形用户界面,并能进行 包括故障处理在内的各种维护工作。除了更精确高效的故障排除功能之外, 远程控制功能还可以实现在线辅助功能。 网络管理系统作为整个网络系统的管理中心, 可以实现网络拓扑结构的 识别、显示和管理;集中管理网络上硬件、软件及系统的配置文件;网络 节点的配置和管理,可以通过局域网及广域网利用系统预定义及系统管理 员定义的应用查询网上的配置信息,系统管理员可以使用一些非常直观的 工具而不是复杂的查询指令。同时,系统管理员还可以对网络上的设备进 行在线修改配置,实现网络资源的动态分配,有利于网络系统的正常高效 运行。 3、备份与恢复管理:
14

为了保证整个网络信息的可靠性, 并提供完善的灾难恢复工具, 网络管 理应具有统一的管理策略,建立对计算机系统安全和备份的管理制度,将 迅速增大的日常数据安全管理与灾难恢复系统的建设结合起来,在数据管 理上做到实时、在线、高速的自动化备份,实现无忧化管理,并能实现对 核心系统及应用的灾难恢复备份功能。 4、设备与性能管理: 网络管理系统应能提供两种逻辑操作:资源信息收集和资源信息查看。 资源信息收集是一种自动任务,在管理服务器发现一个新的被管理对象时 执行。发现新对象时,系统就会选择和执行适当的资源定位方法,收集硬 件和软件资源信息。然后将这些信息存储到资源信息数据库中。由此可以 定制每个被管理对象的资源信息收集频率。收集资源信息并输入数据库之 后,资源信息查看任务就随之出现。其中包含一组即时可用的资源信息列 表。资源信息列表可以应用于单一被管理对象或一组对象。 为确保网络正常运行, 通过网络管理系统应该可以预测问题、 发现问题 和解决问题。网管系统可以通过图形方式显示网络的拓扑结构,所有网络 节点的工作状态,同时可以以图形、图表方式实时显示网络节点的工作性 能,而且可以对网络上的数据流量进行统计并以图形化的曲线、柱型图显 示。这样,网络管理员可以通过网管系统实时监控网络的运行情况,并通 过网管系统进行性能调试和负载平衡,实现网络流量控制和动态系统资源 分配。 网管系统不但可以监控网络的运行,同时还可以将网络设备的运行情 况,网络故障等多种信息存储在文件或数据库中,这些资料可以被网络管 理员直接存取,以便于网络管理员对整个网络的情况有清晰的了解,从而 能够及时调整网络的资源分配,并以此作为网络扩展的有利依据。另外, 网管系统可以对网络设备端口流量和设备资源占用率进行统计,根据统计 数据可以了解网络性能,调整资源的分配,提高资源的利用率。 网络管理系统应该能够支持标准的MIB-II管理信息及主要厂家的MIB管 理信息。 对于各种智能型网络设备,如:集线器,网桥等,只要它支持SNMP管理

15

协议,并采用MIB-II管理信息集,网络管理系统都可以对他进行管理和信 息查询。而SNMP和MIB-II都已成为业界标准,绝大多数网络设备厂家都支 持这一标准。利用这些软件可以在网络管理平台上看到形象的设备面板状 态图。 对于网络中服务器系统的管理,将被嵌入在整体网络管理的体系结构 中。通过统一的系统管理用户界面,主动监控网络服务器系统的工作状态, 随时报告服务器系统状态改变与故障原因。管理系统资源,随时监控系统 的使用状况,对某些紧缺的系统资源及时报告主控台,并通过定义,自动 执行预防性或修正性措施。提供一系列图形界面系统分析工具,随时对任 一系统的CPU,内存,硬盘,I/O进行检测,对历史数据进行归档与分析。 有效管理数据库系统、系统应用、主动监控数据库应用运行状态,建立应 用拓朴结构图,随时报告失败应用状态。 5、故障管理: 网络管理系统在监控网络设备、 主机的同时, 可以设置相应参数的阀值, 对网络故障诊断,显示和通告。使得当某些设备的性能参数超过阀值或者 发生故障等情况下向网络管理员报警,以便帮助网络管理员及时有效地解 决网络故障。 使用网络管理系统, 网络系统管理员可以非常方便高效地管理各种计算 机网络,减少网络故障及网络维护的开支。例如:当网络中的一个路由器发 生故障时,通过网络管理系统可以快速地发现问题并将孤立的网段重新联 结到区域网上,减少故障时间。又如:可以监控网络通讯线上的数据通讯量 及重要的文件服务器上的硬盘空间利用率,当利用率达80%时可自动向网管 中心发出报警信息,使系统管理员及时采取措施避免网络故障。 除上述5项基本功能外,我们认为还应该实现以下建议功能: 6、对数据库的支持和强大的报表功能: 应能支持Sql server、Oracle、Sybase、DB/2、Informix等业界著名的 数据库管理系统,可以将网络管理数据实时或者以批处理的方式传入关系 型数据库系统中,从而为大量网络管理数据的处理、分析、报表制作提供 了方便。

16

历史数据的统计分析对于分析网络性能, 寻找网络隐患有十分重要的作 用。网络管理系统产生的大量信息,由于可以存储在关系型数据库中,所 以查询、制作报表十分简单。 7、和Web的集成: 网络管理软件应具有极强的Web能力, 通过Web浏览器, 可以实现许多管 理能力:浏览子图、对节点进行诊断、事件浏览、对网管性能和处理进行 监控、SNMP网络报告浏览等。 8、灵活的两次开发接口: 网络管理的世界是非常灵活多变的, 网络管理系统应能够提供多种机制 让用户扩展功能以满足特殊的需要。客户可以对标准的MIB数据进行扩充, 建立自己的MIB应用。通过采用事件驱动的编程模型,程序开发可以更加便 捷。 9、满足分布式管理要求: 对于大型网络,透过WAN进行单点网络管理时,往往会出现SNMP包占用 大量并不宽裕的网络带宽的情况,从而影响网络系统的使用。网管系统应 该可以在中心和一些广域连接的节点,分别安装,对该节点的网络进行管 理,然后可将各节点的事件根据重要级别发送到中心的网管系统,中心可 以对整个网络进行全局管理和控制,从而提高管理效率。

3.3 网络管理的组成
网络管理的需求决定网络管理的组成和规模, 但是任何网管系统不论其 规模大小,基本都由支持网管协议的网络管理平台,网络管理应用程序, 网络工作站平台和支持网络管理协议的网络设备等组成。 以下将针对长郡中学校园网络系统分别加以说明: 1. 网管协议: 主要的网络管理协议有 ISO 9596定义的公共管理信息服务 (CMIP)和基 于TCP/IP的简单网络管理协议。通常电信管理网(TMN)多采用CMIP协议, 而在IP应用网络上多采用SNMP协议。 CMIP采用管理者/代理模型,当对网络文件进行监控时,管理者只需向
17

代理发出一个监控请求,代理会自动监视指定的管理对象,并在异常事件 (如线路故障)发生时向管理者发出指示。CMIP的这种管理监控方式称为委 托监控。委托监控的主要优点是管理通信开销小、反应及时,缺点是对代 理的资源要求高。 长郡中学校园网络系统的网络管理将采用SNMP网管协议。 SNMP采用轮询监控。 管理者按一定时间间隔向代理请求管理信息, 根据 管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理资源的 要求不高、缺点是管理通信的开销大。 目前普遍采用的网管协议是简单网络管理协议SNMP(SNMP V2),该协 议1990标准化后形成工业标准。目前除TCP/IP协议外,其他主流网络协议 IPX/SPX, Apple Talk NetBIOS等都支持SNMP(SNMP V2)协议。而且主要 的网络设备厂商,特别是局域网络设备厂商都首选 SNMP协议作为推荐的网 络管理协议。 2. 网管软件平台: 网管软件平台是指一个包含网络管理进程软件和基本网络管理应用的 主管系统。它在支持本公司网络管理方案的同时,都可以通过 SNMP对网络 设备进行管理。 除了网管软件平台之外, 网络产品厂家推出的网络管理产品基本上都是 网络管理代理。带有代理的网络产品接受某些网管产品的管理,这些网络 管理工具基于具体网络平台且为网络管理员提供方便的应用软件工具。 长郡中学校园网选择的网管软件平台应该受到大多数厂商的支持, 且具 有优越的网管性能、图形化的界面、全面的功能和便捷的开发工具,具有 良好的上下兼容性。我们选用神州数码的LINKMANAGER 4.0 标准版。

3.4 网络管理的具体实现
整个一个网管系统是由几个部分组成的, 除设备底层的硬件平台和操作 系统之外,还需要网络管理平台和网管应用软件。网络管理平台介于操作 系统和网管应用软件之间,主要是基于 SNMP协议发现和管理网络上所有支 持SNMP的设备和链路,实现拓扑发现、流量监控、告警等工作,适用于所
18

有基于SNMP协议的设备(各大厂商生产的网络设备通常都支持SNMP协议), 一般由硬件平台厂商或第三方提供。网管应用软件则是针对具体的网络设 备实现远程监控、配置、失效管理等工作。 神州数码的LINKMANAGER 4.0 标准版具有以下特性: LinkManager系列网管系统是基于Microsoft Windows平台,具有增强网 元管理能力、增强网络性能及故障监控能力、结构灵活、简单易用的全中 文用户界面IP网络管理系统。 LinkManager 系列网管系统是神州数码网络有 限公司根据中国网络用户的实际需求,遵循 ISO网 络管理模型的五大功能域架构:性能管理、配置管 理、故障管理、计费管理及安全管理,自主研发的 系列具有自有知识产权的IP网络管理系统。 LinkManager系列网络管理系统基于Java技术,提供了一组基于SNMP协 议、XML、Java、JMX技术的网络管理工具,并有机地将它们无缝集成在支 持灵活插拔的用户平台中,形成了一套技术先进、运行稳定、扩展灵活的 平台/插件式网络管理系统。 产品形态说明:
? ? ? 企业级网管系统基础版——LinkManager-40-B 企业级网管系统标准版——LinkManager-40-S 性能管理插件——PMO-10-Plug-in

主要特性及分布:
LinkManager-40-B

LinkManger基础版是神州数码网络有限公司根据中小企业网络用户对 网络设备管理的需求而自主研发的网元级网管系统。
LinkManager-40-S

LinkManger标准版是神州数码网络有限公司根据企业网用户对IP 网络 综合管理需求而自主研发的综合网管系统平台。
PMO-10-Plug-in
19

性能管理插件, 通过对设备采集数据的监控, 实现即时数据分析和历史 数据分析,并形成图形展示、告警通告、报表提交等功能的智能可插拔插 件。
LinkManger基础版与LinkManger标准版功能对比: 功能
网络拓扑管理 设备配置管理 设备故障管理 设备性能管理 通用设备管理 工具集 RFC资源库 在线帮助 多点管理模式 综合事件平台 综合告警平台 自定义设备配置 自定义Trap

LinkManager-40-B

LinkManager-40-S

√ √ √ √ √ √ √ √ × × × × ×

√ √ √ √ √ √ √ √ √ √ √ √ √

完善的网络拓扑识别能力
LinkManager具有完善的IP网络拓扑识别能力,对单个局域网或复杂网 络,均能有效查找、发现设备,并准确地分析网络物理连接关系和逻辑连 接关系,给管理员提供了全局、立体化的管理视角。 提供两套视图-自动拓扑分析视图和用户DIY视图 ●自动拓扑分析视图 配置恰当的网关、子网掩码、跳数等参数后, LinkManager可自动 对用户网络进行拓扑分析,并将设备信息、设备物理连接关系、IP逻辑连 接关系视图自动展现在用户界面上,整个过程不需用户手动干预。 ●用户DIY视图 对于有特殊需求的用户,LinkManager提供整套编辑网络视图的工具, 包括添加、删除、编辑网元,添加、删除、编辑网络连接,缩放视图等功 能,满足网管人员随心所欲绘制自有网络拓扑图形的需求;
20

提供基于IP协议的子网-节点逻辑视图展现 不论自动拓扑分析得到的视图,还是用户DIY视图,均支持基于IP协议 的子网-节点模式的无向图,使用户清晰了解应用网络的IP逻辑结构,对子 网划分、故障定位有显著的指导意义。 提供可区分设备工作状态的图形标记,用作设备的属性、特征、状态标 识 ● 不同设备类型在视图中拥有各自不同的标志图形; ● 设备在视图中有标识工作 / 菪机 / 长期不可用三种状态的三色标 识; ● 神州数码品牌的网络设备拥有逼真的面板图及完整功能树; 提供基于子网的设备轮询功能

网络拓扑图

专业的设备性能管理
? 提供被管设备的各种信息,如系统信息、接口信息、接口利用率、 ARP 表信息等; ? 提供线图与直方图,可直观地监测被管设备的网络活动;

21

? 支持 RMON 1、2 组信息配置及展现;

性能监视曲线图

自定义的设备故障管理
? 提供面向设备的自定义事件类型、事件与告警关联机制 ? 提供由事件触发的告警功能,提供告警功能的编辑和查询 ? 提供设备的事件与告警对应日志

设备告警列表

完备的设备监控配置管理功能
在对通用SNMP设备支持的基础上, 面向神州数码品牌的网络产品, 提供 了增强的设备级管理能力:
22

? 为支持 SNMP 的设备提供通用功能管理; ? 提供逼真的神州数码品牌的网络设备的面板图、端口及扩展模块 图; ? 可对神州数码品牌的网络设备进行监测与配置,包括:设备信息、 Spanning Tree、端口信息、流控信息、接口统计信息、转发表、 路由表、QoS 信息、冷启、热启等功能; ? 集成设备自有的 Console 口或 HTTP 配置功能。

设备面板图

向第三方厂家兼容的通用设备管理
LinkManager通过对RFC标准库功能的支持,能够很好地支持第三方厂 家的网络设备。
? 对第三方设备厂商设备提供通用面板显示,可正确显示第三方设备的接口列 表、接口状态、接口描述、接口类型、接口速率、接口接受/发送字节数统计、 接口使能配置等功能; 对第三方设备厂商设备提供路由表信息显示, 包括: 目的地址、 网关 IP 地址、 子网掩码、接口号、类型、协议、老化时间等信息; 对第三方设备厂商设备提供 Arp 信息显示,包括:接口号、IP 地址、MAC 地
23

? ?

?

? ?

址、类型等信息; 对第三方设备厂商设备提供接口表信息显示,包括:接口号、接口描述、接 口类型、接口速率、接口 MAC 地址、接口操作状态等信息;提供接口信息统 计图表展示及利用率图表展示; 对第三方设备厂商设备提供转发表信息显示,包括:MAC 地址、目的端口、 状态等信息;提供老化时间参数配置; 对第三方设备厂商设备提供 Spanning tree 信息显示,包括:端口、优先级、 权值、使能状态、接口状态、指定根、指定权值、指定网桥、指定端口、转 发次数等信息;提供生成数端口优先级、端口路径权值、端口生成树使能配 置功能;提供生成树网桥配置功能;

方便易用的工具集
? 提供 Mib 浏览器、Ping 工具、Telnet 工具等;内嵌与 Web 服务器的接口

RFC资源库
? 提供了 90 个 RFC 标准 Mib 库,给专业用户提供了完备的技术支持资料。

友好的用户界面
? ? ? ? ? Windows 界面风格及操作方式,易于熟悉及掌握; 周到的拓扑图发现方式适合操作员的不同需求; 按照中国用户的思维习惯组织的应用管理内容; 多功能插件以同一风格集成,可使操作员免于因功能模块散乱而引起的无所 适从; 完善的用户帮助手册,体贴指导用户每一步操作。

一套变N套的多点管理模式
LinkManager提供C/S、B/S两种登陆方法,实现用户相对网管服务器的 异地管理模式,给用户操作网管软件带来极大方便性;不限制访问客户端 和同时在线浏览器个数,使用户享受到购买1套,多人多重应用的便利。
? ? ? 满足多用户同时管理同一网络的需求; 满足用户异地管理网管系统的需求,解决网管机房远离用户办公室与的问 题; 使用 B/S 访问方式,省去了用户安装 Client 的繁琐动作;

综合事件、告警平台
与设备监控、 故障和性能管理无缝整合的事件统计分析平台、 可自定义 事件种类、自定义事件流配置策略、并提供历史事件的查询和显示。
? 可以添加新的系统事件、标准 Trap 事件及自定义 Trap 事件;
24

? ? ? ? ? ?

可设置重复告警处置策略; 可设置事件和告警存档保存策略; 可设置告警的通知方式,如邮件通告、声音通告、短消息通告等; 可设置事件触发告警等级策略; 提供事件及告警的查询、显示、删除、编辑等操作功能; 提供中心故障控制台,按告警等级、确认状态即时展示当前告警。

自定义设备配置
使用自定义配置功能, 可提供完整的第三方设备支持功能, 只需简单配 置设备类型OID识别字符串及设备厂商提供的执行程序参数,便可无缝兼容 其他设备厂家的网络设备。
? ? 支持所有厂家的二层交换机、路由交换机、路由器、网络安全设备、无线接 入设备、接入管理器; 支持厂家提供的可独立运行的设备插件。

性能管理插件
通过对被管理设备的监控或轮询,获取有关网络运行的信息及统计数 据;通过对历史统计数据的分析,优化网络性能,消除网络中的瓶颈,实 现网络流量的均匀分布。性能管理插件提供了对以下数据的监控和统计:
? 接口组 带宽利用率 接受错误率 发送字节错误率 接受字节错误率 发送字节丢包率 接受未名协议比率 UDP 组 不存在接收端口而不能递交的UDP包数 其它原因不能递交的UDP包数 SNMP 组 接收的SNMP版本错误的消息 接收的具有团体名错误的消息 接收的具有未被SNMP团体操作许可的消息消息 接收的所有消息中的ASN1错误或BER错误 IP 组 IP头错误而丢弃的报文 定向到未知或不支持的协议而被丢弃的报文 被丢弃的输入IP数据报 发送到IP的上层协议报文 IP地址域错误而丢弃的报文
25

?

?

?

?

找不到路由而被丢弃的IP报文 成功充足的IP报文 该接口中因某种原因而拆装失败的IP报文 ICMP 组 接收到有错误的ICMP消息 接收到“超时”ICMP消息 接收到“目的地址不可达”ICMP消息 发送的“目的地址不可达”ICMP消息 发送的“超时”ICMP消息 TCP 组

?

从下层传送实体接收到出错段数 建立连接失败的次数比率 监测能实现对网络中的活动进行跟踪,控制功能实施相应调整来提高网络性能。 有以下功能特性: ? 通过设置性能监控数据的阀值参数,并结合告警平台,当监控数据超过特定 比率后,可以触发告警机制,使用报警音、邮件、短消息等方式即时通告用 户网络中发生的性能故障; 从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能 分析的模型,预测网络性能的长期趋势,并根据分析和预测的结果,对网络 拓朴结构、某些对象的配置和参数做出调整,逐步达到最佳运行状态; 使用线图、饼图、直方图、面图 4 种图形生动逼真展示性能状况; 可自定义报表参数、报表格式、报表内容,形成领导视角和技术人员视角报 表,并支持 Html、Excel、Html 多种格式报表。

?

? ?

饼图展示性能数据

26

系统运行环境 一、硬件平台
? ? ? ? ? ? Intel Pentium Ⅲ或以上的处理器; 256M 或以上的内存; 高分辨率显示器(至少支持 1024 X 786); 剩余磁盘空间:200MB 以上,建议>=2GB; 网络适配卡(建议单网卡); 光驱。

二、网络平台
? ? ? 安装并配置了 TCP/IP 协议; 以神州数码网络有限公司的网络设备为主,同时兼容其它厂家 SNMP 设备; 能够为下述神州数码网络有限公司的网络设备提供齐全的设备管理和功能 管理:

以太网交换机包括: DCRS-7515 、 DCRS-7508 、 DCRS-7504 、 DCRS-6608 、 DCRS-6512 、 DCRS-5512G 、 DCRS-5526 、 DCRS-5526S 、 DCRS-5512GC 、 DCS-3926S 、 DCS-3750、DCS-3726B/S、DCS-3526、DCS-3652、DCS-3628S、DCS-3526、 DCS-3426 、 DCS-2026B 、 DCS-2026/17 、 DCS-2026E 、 DCS-2017E 、 DCS-2008E; 路由器包括: DCR-3660、DCR-2720、DCR-2716E、DCR-2708E、DCR-2661、DCR-2650、 DCR-2630、DCR-2511、DCR-2509V、DCR-2509、DCR-2501V、DCR-2501、 DCR-1750、DCR-1720; 无线,接入设备: DCWL-4000AP、DCBA-2000W、DCBA-2000P.。

三、操作系统平台
可选以下操作系统平台:
? ? ? ? Microsoft Windows 2000(Professional 或 Server); Microsoft Windows XP; Microsoft Internet Explorer 5.0 及以上版本; Sun Java 2 Runtime Environment 1.4.2 及以上版本。

四、数据库平台
? MySQL 数据库软件

五、其它支持软件
? ? Microsoft Internet Explorer 5.0 版本或以上版本(必须预先安装); Adobe Acrobat Reader 5.0 中文版 及以上版本。
27

第四章 认证与管理
4.2 认证系统设计原则
进行系统设计时,严格遵循以下原则: ? 系统的主机系统、 数据库系统、应用软件均使用目前国际上比较先 进的、比较成熟的技术,符合国际标准和规范; ? 系统严格按照国外商业软件模式进行设计, 采用面向对象的程序开 发方法; ? 采用分布式处理模式; ? 采用分层的模块化结构设计; ? 充分考虑标准化和开放性要求,以适应因特网的迅速发展; ? 系统的硬件平台和数据库应具有良好的可扩充性和灵活性, 满足可 持续建设的要求。

4.3 认证计费方案概述
关于用户认证的方式,目前业界可以划分为 3 种主流的认证方式:
PPPoE 接入方式

类似传统窄带拨号方式,是一种较成熟的、具有统一标准的接入方式。 PPPoE是一种基于网络第二层协议的接入技术,自身可以有效地隔离用户, 只是不能穿透网络第三层。这种方式的优点是便于用户管理,符合用户拨 号上网操作习惯,用户必须拨号后才能获得IP地址(具有一定的安全性) , 并可以实现按用户帐号、时长、流量等多种计费方式。有标准的PPPoE拨号 客户端支持,可以免费得到,Windows XP系统自带拨号客户端。商用基本 上都是在BAS上实现。如神州数码的接入管理器DCBA-3000W。
DHCP+Web 认证接入方式

一种正被迅速广泛应用的宽带接入方式,没有标准协议,各个设备制 造商实现起来各不相同。安全性较差,因为设备必须开放协议端口用于认 证和保活。厂家都提供客户端软件,或者利用PC操作系统的java VM来工作,
28

自动下载客户端软件。商用基本上都是在BAS上实现。如神州数码的接入管 理器DCBA-2000W、DCRS-6608接入管理器。
802.1x认证方式

802.1x认证,有IEEE标准。今年来才被广泛采用,商用上基本都在L2 Switch上实现, 对用户通断限制严格。 其实每台支持802.1x协议的L2 Switch 都可以说是一个BAS,只是容量较小而已。由于L2 Switch在网络中使用量 大,配置和维护工作较繁琐。通常也是厂家自己提供排他性的客户端,同 时在客户端上提供特殊服务,比如防止代理等。
神州数码对于以上 3 种认证方式都可以支持,无论是接入管理器还是 802.1x 交 换机, 都需要与 DCBI-3000 或者 DCBI-2000 配合, 才能够完成用户的接入认证、 计费、 管理等功能。

神州数码公司拥有自己的计费系统、接入服务器及认证服务器,适合 校园网里的各种计费。下面安装计费系统后校园网的拓扑图。

基于长郡中学目前的网络状况,我们建议使用 802.1X 的认证方式

灵活的接入认证方式 神州数码可运营校园网解决方案 DCBI-3000 可提供面对长郡中学校园 网中教学区群体、学生宿舍区群体和教职工家属区群体等不同用户群体的 不同使用需求,可以综合采用不同的接入方式。
29

例如:在学生宿舍区和教职工家属区建议使用 802.1x 认证接入方式, 同时在接入设备上可以通过 PVLAN 技术实现端口间的隔离, 保证每个端口 的用户之间不能互相访问,从而提高安全性;在教学区通过 VLAN 技术, 实现不同的用户群访问不同的资源。 在实现接入认证的时候,可以实现一个用户一个账号在校园中漫游, 同时也可以实现对用户的准确控制,比如:那些人可以在整个校园通过授 权的账号漫游,那些只能在宿舍区上网;或者那些人可以在任何的时间上 网,那些人只能在固定的时间内上网;或者在一个公共教室,学科 A 的老 师上网络的时候, 可以访问学科 A 的资源, 而学科 B 的老师上网络的时候, 可以访问学科 B 的资源,这种动态的 VLAN 划分,保证在接入控制中更灵 活、更方便;学校的领导享有超级权限,可以在任何地方、任何时候、访 问资源,而学生只能上图书馆、互联网等共享资源,等等这些进一步保证 网络的安全。 超强的用户接入控制保证网络安全 在长郡中学校园网中一般采用 LAN 的接入方式,因此长郡中学校园 网的运营不可避免会存在 IP 地址管理的问题。 在校园网中经常出现 IP 地址 盗用或冲突的问题。用户恶意更改 IP 地址,在实际的运营中轻者导致其他 用户上不了网,重者则导致整个网络陷入瘫痪(比如用户的 IP 地址设成网 关地址) ,严重的影响运营的质量;有的运营商采用 IP 地址和 MAC 地址绑 定的功能,但由于一方面不能有效地解决 IP 地址冲突问题,同时增大了交 换机的成本投入,而且工程的实施又极其繁琐,所以也很不理想。 长郡中学校园网解决方案中可以实现对用户账号与 IP、 MAC、 接入交 换机 IP、接入端口、VLAN ID、DHCP SERVER 等多元素的任意绑定,能 够很好的解决 IP 地址的管理问题,同时提供强大而灵活的用户接入控制功 能。 方式一:用户帐号/密码的验证,只有通过验证的用户才能访问网络, 保证正常开户的用户才能接入。 方式二:用户帐号、密码、IP 地址的绑定,可解决 IP 地址静态分配 环境下的 IP 地址冲突问题。 方式三:用户帐号、密码、MAC 地址的绑定,可保证用户帐号不被
30

盗用。 方式四:在 802.1x 认证中,交换机端口与 MAC 地址的绑定,可对认 证者进行过滤。 方式五:用户帐号、密码、VLAN 号、MAC 地址的绑定,能够为用 户做更精准的身份认证。比如教师家属区和学生宿舍区的用户通常使用不 同资费标准和策略,那么如何禁止这两个区域用户账号的混用呢?如果教 师和学生在不同的 VLAN 内, 只要在用户认证时, 同时认证用户的 VLAN ID 就可以做到教师的帐户只能在教师宿舍区使用,学生的帐号只能在学生宿 舍区使用。 长郡中学校园网解决方案在 IP 地址管理上可以做到: (Ⅰ)针对静态 IP 地址分配的情况,做到: 认证前用户将静态分配方式改为动态、认证过程中修改 IP 地址,用户 认证不予通过; 认证后修改 IP 地址,用户立即下线; (Ⅱ)针对动态 IP 地址分配的情况,可以做到: 认证前设定成静态,认证不予通过; 认证通过后,由动态改为静态,用户立即下线; 从其他或非法 DHCP server 获得地址,认证不予通过; 超高的网络安全管理 由于长郡中学校园网络连接园区内部所有用户,安全管理十分重要。 因为超过90%的不安全因素来自网络内部,所以安全、智能、可运营”的长 郡中学校园网解决方案中,可以通过多种网络安全策略,为长郡中学校园 网提供了高度的网络安全保障。

31

第五章 网络方案特点设计
5.1 稳定可靠
核心交换机DCRS-6808 是具有运营商级容错能力的高性能大型网络核 心交换机,管理模块、电源模块等还可实现冗余备份,本次配置双电源。 “5个9”的可靠性级别,保证了设备每年停用时间不超过5分钟。提供运营 商级的可靠性。 DCS-3950系列交换机作为智能可网管接入层交换机,具有很高的安全 性,适用于大中型网络组网,其稳定可靠性也得到实际应用证明。

5.2 高性能
核心交换机DCRS-6808, 960Gbps交换容量, 714Mpps线速全层包转发率; DCS-3950系列提供了强大的交换能力,支持全线速转发;同时支持千 兆电缆、光纤上联。

5.3 VLAN管理
DCRS-6808系列交换机支持丰富灵活的动态VLAN策略, 使网络管理员可 以在逻辑上将不同用户分入基于端口、协议或 IP子网的VLAN中,从而隔离 广播域,提高网络带宽的利用率和安全性。 接入层也全部支持 IEEE 802.1q VLAN 标记,可基于端口地址来划分 VLAN,最多4K个VLAN。通过控制口或网管工作站可以轻松完成结构和设备 的添加、移动和更换。可根据最大网络流量和网络安全性来划分虚拟网络。 DCS-3926S同时支持GVRP协议,可实现VLAN组成员动态注册。

5.4 全线产品QOS支持
DCRS-6808系列交换机提供了基于策略的QoS技术,可在以太网上提供 前所未有的服务质量保证。可对通过交换机的数据包的特征(如端口、VLAN
32

成员、TOS、MAC地址、IP地址或子网、TCP端口等)对其分类,并根据流量 的不同类别采取不同的传输策略。每个端口提供基于IEEE 802.1p的4个QoS 级别,而通过可加权赋值的WFQ则可确保8级QoS优先级别都至少能分配到最 小的带宽。 神州数码接入层交换机也支持QOS功能。 宽带网络应用的发展使用户的 使用状况得以区分,通过QOS以区分不同用户的数据传输,典型的互联网应 用如email、下载文件、VOD视频点播等应得以不同的优先级传输状况区分。

5.5 易于扩展升级
核心交换机DCRS-6808最多可提供384个千兆以太网接口或32个万兆以 太网接口,能够满足用户对于网络规模的扩展要求。

5.6 完善的网络管理
神州数码LinkManager网管系统是一套基于Windows平台的高度集成、 功能完善、实用性强、方便易用的全中文用户界面的网络管理软件。它是 神州数码网络根据中国用户的实际需求,遵循ISO网络管理模型的五大功能 域(性能管理、配置管理、故障管理、计费管理及安全管理)的架构,自 行研发的一套具有自有知识产权的网管系统软件,既能够对神州数码网络 推出的具有SNMP功能的网络设备提供齐全的设备管理和功能管理,同时也 能够良好地支持其他任何具有通用SNMP功能的网络设备,提供整个网络的 拓扑结构和常用网络管理信息。

33

第六章 方案涉及产品简介
6.1 神州数码DCRS-6808系列路由交换

DCRS-6800系列 IPv6多业务万兆路由交换机
?

产品概述

DCRS-6800系列路由交换机为企业和电信网络提供了优秀的安全性、可靠性、业务多样性和 扩展能力。DCRS-6800系列可作为中小型校园网、企业网的核心层设备或作为大型校园网、IP城域 网的汇聚层设备,它们不仅能够降低用户构建下一代网络的复杂性,而且提供了很好的投资保护。 DCRS-6800系列路由交换机率先通过最为苛刻的国际IPv6 Ready第二阶段认证。借助芯片级 的转发能力和多样化的业务支持,以及较高的性价比,DCRS-6800系列成为企业级网络和电信城域 汇聚层部署IPv6的最佳解决方案之一。 该系列目前包括DCRS-6804, DCRS-6808等交换机。DCRS-6808提供10个槽位,具备强大的 交换容量和转发能力,可全线速地进行 L2/L3数据转发,能够满足用户对于网络规模的扩展要求。 DCRS-6804提供了4个插槽,其管理模块均带有业务接口。DCRS-6804L是一种高性价比的组合:

34

在配予专用电源模块之后,利用L型专用管理模块,DCRS-6804L则成为一台满足中小型网络核心需 求的高性价比机箱交换机。 DCRS-6800系列交换机的管理模块、电源模块支持冗余备份和负载均衡,板卡、电源、风扇 均支持热插拔,可以随时监控各个部件的工作温度,再加上强大 MVTE 特性以及各种 HA 特性为 DCRS-6800 系 列 提 供 了 电 信 运 营 商 级 的 可 靠 性 。 柔 性 化 智 能 化 的 交 换 机 资 源 调 度 技 术 FlexResource,为核心设备支撑更大规模的网络提供了强有力的保障。极具特色的安全功能,增强 ACL-X 功 能 , 应 用 层 安 全 机 制 SecApp , 各 种 防 攻 击 、 防 病 毒 手 段 如 S-ARP,S-ICMP,S-Buffer,Anti-Sweep,CPU核心保护机制和绿色通道机制等, 共同构建起有效的安全 核心。

?

主要特征

? 先进的体系结构
DCRS-6800系列交换机采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查 找,采用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充 能力。DCRS-6800系列交换机能够有效地抗击 “红色代码”、“冲击波”、“震荡波”等网络病毒的攻击, 更加适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。

?

运营商级的可靠性
为了满足苛刻的运营商级网络对设备可靠性的要求, DCRS-6800系列交换机对所有关键部件

都采用了冗余备份的设计方案, 并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。 DCRS-6800系列拥有MVTE特性 (多VLAN子网流量工程),可根据流量所属的VLAN子网, 自动实现流量负载分担和冗余备份; 支持HSRP和标准路由冗余协议VRRP, 保证路由不间断; MVTE 特性可以和VRRP或HSRP相结合, 可最大限度地利用二三层网络的设备和链路, 大大改变目前多层 网络中的“备份有余、均衡不足”的弊端。同时支持ECMP / WCMP,特别合适多出口ISP外网接入, 保证路由负载均衡和冗余备份;支持Firmware&Config双容错备份,保证自动正确引导交换机,此 特性不仅适合版本繁多的网络培训实验室,而且大大提高了实际运营设备的可引导性和在线升级的 便利性。

?

强大的 ACL 功能
支持标准和扩展ACL,支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL,支持基于

源/目的IP、三层IP协议类型、TCP/UDP四层端口号、IP优先级、ToS,并且以上功能完全依靠硬件 线速实现,不影响转发性能。

35

?

增强的安全特色
? 全面的受控组播方案 DCSCM,可以对源和目的进行安全控制,完整实现了在接入层网络中 应用了基于 IGMP 源端口和目的端口检查技术, 可完全限制合法组播在网络中的稳定传输, 有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;同时 DCSCM 可 与 AAA 系统联动实现业务控制。面向服务质量的策略组播可以有效保障重要应用的 QoS。 ? ? 基于应用的业务安全管理 SecAPP,在不影响交换机转发性能的前提下,实现对应用业务 的准入控制和流量管理,可基于应用管理用户带宽。 支持 ACL-X 可基于时间段设置安全策略,安全设置随时间而动,在不同的时间段自动切 换为不同的策略;智能化流量控制,可基于 ACL 进行流量分类,比起传统的基于交换机 端口、ToS、DCSP、CoS、802.1P 的分类方式,ACL-X 更加精细和贴近业务分类;而安全 策略分发更加灵活,可配置到任意端口、VLAN、VLAN 接口,极为灵活。 ? ? “交换引擎 CPU 核心保护”:可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪; “关键协议绿色通道” 功能:可保障正常、合法、速度合理的关键控制报文(STP、MSTP、 RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理 不中断; ? 先进的 LPM 技术:可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm” 病毒等; 端口信任模式:则可检测非法 DHCP Server、非法 Radius Server 等,只在信任端口才能 接入这些设备,从而保障网络的安全。

?

?

丰富灵活的 QoS
DCRS-6800系列交换机为每个端口提供了8个优先级队列,完全硬件实现,不影响性能。每端口8

个队列,支持基于802.1p、ToS、端口、DiffServ进行流量分类 还可以根据ACL-X的80个字节高层内容进行流量分类,同时支持WRR、SP、SWRR、WFQ、CBWFQ、 PQ、WRED,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。

?

便捷安全的网络管理
优秀的网络设备除强大的性能和功能外还应具备完善的管理功能。DCRS-6800系列具有丰富

的监测网管功能,可实现任务异常、内存异常、交换芯片异常、CPU利用率、堆栈异常等方面的监 测,而 SYSLOG 功能可方便地记录事件,可支持记录到 NVRAM、 FLASH 、 RAM 、 Telnet 、 SSH Console、Syslog服务器等。 DCRS-6800系列具备便捷安全的配置管理手段,其独特的Profile情景模式,可设定情景模式, 多种配置间切换变得轻松自如,非常适合网络实验室;客户化便捷命令行功能可为每种特殊病毒或 者业务定制命令,简单易行;支持标准SSH、用户权限分级管理、SNMP v1/2/3;Security IP功能 可拒绝非法配置员,Web网管、Telnet等各种管理方式均支持Security IP,只有从合法的IP才能对交 换机进行配置管理,防止非法用户登陆交换机。 DCRS-6800 系列产品支持 SNMP,支持带内和带外管理,支持CLI ,支持RMON,并可采用 SMTP协议自动向管理员信箱发送相关敏感信息。支持 SSH协议,可以最大限度地保证交换机的配 置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。

?

技术指标
36

项目 插槽

DCRS-6804 / DCRS-6804L 4

DCRS-6808 10

端口

10/100/1000BASE-T最多192个 1000Base-SX最多192个 1000Base-LX最多192个 10/100BASE-T最多192个 万兆最多16个
640Gbps(可扩至1.2Tbps) 480Gbps 357Mpps,L2/L3全线速 64K 4K 128K 64K

10/100/1000BASE-T最多384个 1000Base-SX最多384个 1000Base-LX最多384个 10/100BASE-T最多384个 万兆最多32个
2.0Tbps 960Gbps 714Mpps,L2/L3全线速 128K 4K 128K(可扩展到256K) 128K

背板带宽 交换容量 包转发速率 MAC表项 VLAN表项 IP路由表项 IP主机表

IEEE802.3(10Base-T)、 IEEE802.3u(100Base-TX)、 IEEE802.3z(1000BASE-X)、 IEEE802.3ab(1000Base-T)、 IEEE802.3ae(10GBase)、 IEEE802.3ak(10GBASE-CX4)、 IEEE802.1Q(VLAN)、 IEEEE802.1d(STP)、 二层协议规范 IEEEE802.1W(RSTP)、 IEEEE802.1S(MSTP)、 IEEE802.1p(COS)、 IEEE802.1x(Port Control)、 IEEE802.3x(流控)、 IEEE802.3ad(LACP)、 Port Mirror、IGMP Snooping、超长帧Jumbo Frame(≥9Kbytes)、 QinQ、GVRP,VLAN, PVLAN, SuperVLAN, 广播风暴控制 基于端口的802.1Q协议, 整机最多支持4096个VLAN, 同时支持基于端口、 MAC的VLAN 划分 IP/IPX (其中IP支持IPv4、IPv6双栈)、 Static Routing、 RIPv1/V2,并支持MD5认证、 三层协议规范(v4) OSPFv2、BGP4、IS-IS、LPM Routing、 Policy-based Routing(PBR)、ECMP、WCMP、 VRRP、HSRP、 IGMP v1/v2/v3、DVMRP、PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP ARP、ARP Proxy、

37

完全硬件实现,不影响性能。 每端口8个队列。 支持CAR。 支持基于802.1p、ToS、端口、DiffServ进行流量分类 QoS 还可以根据ACL-X的80个字节高层内容进行流量分类, 支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。为语音/数据/视频在同一网络中传输提 供所要求的不同服务质量 支持Traffic Shapping(流量整形)、 支持优先级Mark/Remark 完全硬件线速实现,不影响转发性能。 支持标准和扩展ACL, ACL 支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL, 支持基于源/目的IP或MAC、 三层IP协议类型、 TCP/UDP四层端口号、 IP优先级(DSCP、 ToS、 Precedence)、基于VLAN、Tag/Untag、CoS等 支持基于时间自动改变安全策略。 ACL-X ACL规则可以配置到端口、VLAN、VLAN路由接口。 ACL的深度内容可被用于QoS分类的标准,深度可达80字节。 S-ARP(安全ARP)功能:ARP检查、防ARP-DOS攻击、防地址仿冒 Anti-Sweep:防pingSweep等各类扫描行为 S-ICMP(安全ICMP)功能:防止PING-DOS攻击; 防ICMP Unreachable攻击 S-Buffer功能 防止DDOS攻击 软件IP流量抗冲击功能 防止DDOS攻击 交换引擎CPU核心保护功能 关键协议绿色通道功能:可保障合法、频率正常的关键信令处理 防攻击和安全功能 端口信任模式:检测非法DHCP Server、非法Radius Server等, 只在信任端口才能接入这些设备。 先进的LPM技术:可防止“冲击波”病毒、“zero day”病毒、“SQL slammer warm” 病毒等。 支持URPF(单播反向路径检查),可有效防止IP地址仿冒和攻击。 以上技术可有效防止各种DOS攻击(如ARP攻击,Synflood攻击,Smurf攻击,ICMP攻击) 支持ARP监听,防蠕虫、冲击波,检测各种扫描行为并告警屏蔽 应用层业务管理功能 支持SecAPP特性 支持MVTE,实现基于VLAN的流量均衡 高可靠性和冗余均衡 特性 支持主/备切换,所有板卡支持热插拔 支持HSRP,VRRP,支持LACP负载均衡。 支持Firmware&Config双容错备份 多路(2-3路)电网供电、功率负载均衡 支持主机活动状态感知和资源智能配置技术 性能调度机制 FlexResource 支持主机移动感知和资源智能配置技术 可动态回收和再分配芯片资源 采用路由汇聚技术优化芯片表项资源 采取LPM技术优化芯片表项资源 38

安全可控组播技术 DCSCM 安全可控组播和 Radius联动

支持组播信源控制,防止非法组播源 支持组播用户可控 支持策略组播 支持

支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定, 支持MAC过滤,支持IP+MAC(无端口)捆绑 支持端口限速(带宽管理) 支持广播风暴控制, 端口功能 支持端口镜像(CPU端口镜像、进或者出单向/双向,一对一,多对一,跨板) 支持流控:HOL防头包阻塞,半双工背压,全双工IEEE802.3x 支持端口聚合 IEEE802.3ad(LACP),最大可支持32组trunk,每trunk可到8个端 口,每组双向带宽可到8G×2,支持负载均衡。 支持端到端GEC/FEC,每组最多8端口 DHCP 用户接入 AAA认证 低耗节能技术 支持Client、Relay 内置DHCP Server,无需外挂,并可以监测非法DHCP Server并告警 支持IEEE 802.1x 支持RADIUS,支持RADIUS扩展 支持,可大大降低功耗,显著提高设备散热性和稳定性

MPLS

MPLS、MPLS VPN、MPLS TE ICMPv6、ND、

IPv6

RIPng、OSPFv3、BGP4+ PIM-SM for IPv6, MLD for IPv6(v1),MLDv1/v2 6to4 Tunnels、configured Tunnels 、ISATAP、NAT-PT

支持CLI、支持Console(RS-232),支持Telnet, 网络配置和管理基本 功能 支持SNMPv1/v2/v3, 支持MIB接口,支持Trap 支持RMON 1,2,3,9四组 网管SysLog 支持,可记录事件到NVRAM、FLASH、RAM、Telnet、SSH Console、Syslog服务器 等。 支持Security IP功能:防止在非制定区域非法登陆配置 支持安全SNMPv3 配置管理安全 支持SSHv2 支持TACACS+ 支持https 命令行权限分级,独立认证,不同级别所能运行的命令行权限 可以通过ACL功能控制用户对交换机的访问权限,包括telnet、web、SNMP的权限,可以 NMS功能 SFlow功能 有效的做到完全控制,实现NMS功能。 支持网络流量分析,支持RFC3176,可以实现基于协议或地址的流量监控和统计

39

异常监测和故障检查 功能

任务异常、内存异常、CPU利用率、堆栈异常、 交换芯片异常、板卡温度异常等监测,并告警 线路VCT检测功能(检测5类线故障) 独到的Profile情景模式,可非常方便地在多种用户配置间切换

配置管理便捷化

“一行式”设计:可极大简化复杂功能的配置 cisco风格命令行

集中网管软件

采取神州数码网络LinkManager软件 统一管理

物理尺寸(宽深高) 相对湿度 运行温度

440mm×421mm×266mm 10%~90%无凝结 0° C~40° C 交流: 输入200~240V, 50~60 Hz; 直流:输入-36V~ -72V;输出

436mm*478mm*797mm

交流:输入90~260V,50~60 Hz; 直流:输入-36V~ -72V;输出12V/25A, 5V/10A (此输出参数为每一模块的额定值);

电源

12V/25A,5V/10A (此输出参数为每一模块的额定 值);

功耗

≤300W

≤600W

6.2 神州数码万兆IPV6汇聚交换机DCRS-5950系列

DCRS-5950系列交换机是神州数码网络推出的盒式高性能硬件 IPv6万兆路由交 换机,该系列交换机采用硬件 ASIC 芯片实现 IPv4 与 IPv6 双协议栈,可全线速转发 IPv4/IPv6的2/3层数据包, 在IPv6方面处于业界领先的地位。 该款产品支持丰富的IPv6 隧道协议,可灵活实现IPv4网络与IPv6网络的互连互通,且支持IPv6版本的RIPng, OSPFv3等动态路由协议,可用于部署大型IPv6网络。 神州数码网络的全线路由交换产品已经通过最为苛刻的国际 IPv6 Ready第二阶 段认证。第二阶段认证被IPv6官方权威机构认定为金牌认证。不仅如此,DCRS-5950 系列借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,成为大型企业 级网络汇聚和中型网络万兆核心层部署IPv6的最佳解决方案的一部分。 该系列交换机支持千兆下联,万兆上联,端口组合非常灵活,万兆核心交换机的
40

技术应用在固定式交换机上,而高度只有1U,充分体现了汇聚产品高性能、小型化、 灵活的趋势。 在性能和功能方面DCRS-5950系列能够满足大型网络的组网需求, 并具 备丰富的智能和安全特性,特别适合于作为大型校园网、企业网、IPv4/IPv6城域网的 汇聚设备,以及中小型网络的核心设备。
?

主要特性

高性能
DCRS-5950将万兆核心交换机的先进架构和技术应用在固定式交换机上,从而大 幅度提高了固定式交换机的性能和功能。L2/L3均可实现全线速转发。DCRS-5950支持 大容量路由表项,能够满足大型网络的组网需求。

硬件实现 IPV6
DCRS-5950系列采用目前业界最先进的硬件 ASIC芯片技术来实现IPv4与IPv6的双 协议栈,可全线速转发IPv4和IPv6的2/3层数据包,通过先进的芯片技术保障 IPv6协 议丰富的功能得以实现和稳定运行,同时该款交换机还支持丰富的隧道协议,例如支 持6to4 Tunnels、configured Tunnels、ISATAP等隧道模式,灵活解决IPv4网络到IPv6 网络的过渡问题。

万兆以太网就绪
万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低 速的、半双工的CSMA/CD协议。DCRS-5950系列能够提供当前主流的XFP接口,带宽和 处理能力更加强大,为城域和广域的应用提供了针对性的解决措施,可以简化网络结 构、降低网络维护成本。

丰富的网络协议支持
DCRS-5950 支 持 802.1d/w/s 生 成 树 协 议 , 支 持 GVRP /802.1Q , 802.1p , LACP/802.3ad,802.3x,DHCP Server/Client/BOOTP/Relay,SNTP等标准。支持IGMP, DVMRP,PIM等完整的组播协议。支持RIPv1/2、RIPng、OSPF、OSPFv3、BGP4、BGP4+、 HSRP、VRRP等路由协议,适合复杂的大型网络组网需求。

强大的 ACL 功能
DCRS-5950提供了完整的ACL策略,并使用不同的策略进行转发。通过ACL策略的 实施,用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包,防止扩散 和冲击核心设备。支持IEEE802.1x基于端口的认证,为网络提供端口级的安全保证。
41

配合RADIUS等认证机制,可有效防止非法用户侵入网络。

丰富的 QoS 策略
DCRS-5950完全实现DiffServ模型。每个端口提供了8个优先级队列,可分别设定 队列带宽,支持WRR/SP/SWRR等调度方式。支持端口信任,可配置信任CoS、DSCP、IP 优先级、端口优先级,并修改数据包的DSCP、COS值;可根据端口、VLAN、DSCP、IP 优先级、ACL表进行流量分类,修改数据包的DSCP和IP优先级,并指定不同的带宽, 为语音/数据/视频在同一网络中传输提供不同服务质量。

3D-SMP 就绪
DCRS-5950符合神州数码自防御式安全域管理策略3D-SMP的组网要求,扩展增加 了与防火墙 ,IDS等安全系统的互动功能 , 对于来自外网和内网的病毒和攻击都可以 有效地进行控制,从而大大提升了全网的安全性和稳定性。。

完善的网络管理
DCRS-5950支持SNMP,支持带内和带外管理,支持CLI和WEB界面,支持RMON,并 可采用SMTP协议自动向管理员信箱发送相关敏感信息。DCRS-5950支持SSH协议,可以 最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统 LinkManager统一管理,方便简捷。
?

技术指标

42

?

项目

接口形式

DCRS-5950-2 DCRS-5950-26 DCRS-5950-28T DCRS-5950-52 DCRS-5950-28 DCRS-5950-52T-L 4 T T-L 16 个 千 兆 SFP 16 个千兆 SFP 接 20个千兆电接口, 4 44 个 千 兆 电 接 20 个 千 兆 电 接 44个千兆电接口, 4 接 口 , 8 个 口,8个COMBO 个 COMBO 接 口 口,4个COMBO 口,4个COMBO 个 COMBO 接 口 COMBO 口 口(SFP/GT联合 ( SFP/GT 联 合 端 接口(SFP/GT联 接口(SFP/GT联 ( SFP/GT 联 合 端 ( SFP/GT 联 端口)以及2个固 口),2个万兆扩展 合端口),2个万 合端口),2个万 口),2个万兆扩展 合端口) 化 XFP 万兆光接 槽位, 2个专用拓扑 兆扩展槽位,2个 兆扩展槽位,2个 槽位, 2个专用拓扑 口 堆叠接口,最大扩 专用拓扑堆叠接 专用拓扑堆叠接 堆叠接口,最大扩 展至10个万兆口 口,最大扩展至 口,最大扩展至 展至10个万兆口 10个万兆口 10个万兆口 260Gbps 208Gbps 155Mpps 32K 4K 16K 16K 260Gbps 208Gbps 155Mpps 32K 4K 16K 16K 64K 64K 520Gbps 368 Gbps 274Mpps 32K 4K 16K 16K 64K 64K 520Gbps 416Gbps 309Mpps 32K 4K 16K 16K 64K 64K 520Gbps 368 Gbps 274Mpps 32K 4K 16K 16K 64K 64K 520Gbps 416Gbps 309Mpps 32K 4K 16K 16K 64K 64K

背板带宽 交换容量 包转发速率 MAC表项 VLAN表项 IPv4地址表 IPv6地址表

IPv4路由表项 64K IPv6路由表项 64K

43

物理尺寸 (宽深 436mm× 44mm× 4 436mm× 44mm× 420 440 mm × 44 mm× 415 440 mm 高) 20mm mm mm mm× 415 mm 相对湿度 运行温度 电源 功耗 项目 5% ~ 90% 无凝结 0℃ ~ 50℃ 交流 : 90- 264VAC , 47-63Hz, 直 交流: 100V ~ 240V 流-40--60V 50-60Hz (+/- 3Hz) 80W 80W 130W

× 44 440 mm mm× 415 mm

× 44 440 mm × 44 mm× 415 mm

RPS(直流 in 12V) 180W 属性 130W 180W

44

IEEE802.3(10Base-T)、 IEEE802.3u(100Base-TX)、 IEEE802.3z(1000BASE-X)、 IEEE802.3ab(1000Base-T)、 IEEE802.3ae(10GBase)、 IEEE802.3ak(10GBASE-CX4)、 IEEE802.1Q(VLAN)、 IEEEE802.1d(STP)、 二层协议规范 IEEEE802.1W(RSTP)、 IEEEE802.1S(MSTP)、 IEEE802.1p(COS)、 IEEE802.1x(Port Control)、 IEEE802.3x(流控)、 IEEE802.3ad(LACP)、 Port Mirror、IGMP Snooping、 QinQ、GVRP,VLAN, PVLAN,广播风暴控制 整机最多支持4096个VLAN Static Routing、 RIPv1/V2、OSPFv2、BGP4等多种单播路由协议 三层协议规范 支持LPM Routing、支持Policy-based Routing(PBR) VRRP、HSRP、 (v4) 支持IGMP v1/2/3、DVMRP、PIM-DM、PIM-SM、PIM-SSM等。 ARP、ARP Proxy Static Routing、 RIPv1/V2 Policy-based Routing(PBR)、 VRRP、HSRP、ARP、ARP Proxy

45

IPv6

ICMPv6、ND、 ICMPv6 、 ND 、 RIPng, MLD RIPng、OSPFv3、BGP4+等单播路由协议、 Snooping, 6to4 Tunnels、configured PIM-SM/DM for IPv6, MLD for IPv6(v1),MLDv1/v2,MLD Snooping Tunnels 、ISATAP等 6to4 Tunnels、configured Tunnels 、ISATAP等 完全硬件实现,不影响性能。 每端口8个队列。支持SP、WRR、SWRR等队列调度算法。 支持基于802.1p、ToS、端口、DiffServ进行流量分类 还可以根据支持采用ACL进行流量分类,根据分类结果设置COS, TOS, DSCP,根据ACL-X的80个字节高层 内容进行流量分类, 支持SP、WRR、SWRR等,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量 支持Traffic Shapping(流量整形)、 支持优先级Mark/Remark 完全硬件线速实现,不影响转发性能。 支持标准和扩展ACL 支持基于时间自动改变安全策略。 ACL的深度内容可被用于QoS分类的标准,深度可达80字节。

QoS

ACL ACL-X

支持RSTP,MSTP 高可靠性和冗 支持HSRP,VRRP,支持LACP负载均衡。 余均衡特性 支持管理模块、电源模块 安全可控组播 支持组播信源控制,防止非法组播源 技术 支持组播用户可控 支持策略组播 DCSCM

46

端口功能

支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定,支持MAC过滤, 支持端口限速(带宽管理) 支持广播风暴控制, 支持端口镜像(CPU端口镜像、进或者出单向/双向,一对一,多对一,跨板) 支持流控:HOL防头包阻塞,半双工背压,全双工IEEE802.3x 支持端口聚合 IEEE802.3ad(LACP),每trunk可到8个端口,支持负载均衡。 支持Client、Relay 内置DHCP Server 支持IEEE 802.1x 支持RADIUS

DHCP 用户接入 AAA认证

支持CLI、支持Console(RS-232),支持Telnet, 支持SNMPv1/v2/v3, 网络配置和管 支持MIB接口,支持Trap 理基本功能 支持RMON 1,2,3,9四组 支持Security IP安全网管功能 网管SysLog 支持 支持Security IP功能:防止在非制定区域非法登陆配置 支持安全SNMPv3, 配置管理安全 支持SSH, 支持TACACS+, SFlow功能 支持网络流量分析,支持RFC3176,可以实现基于协议或地址的流量监控和统计 异常监测和故 任务异常、内存异常、CPU利用率、堆栈异常、 障检查功能 交换芯片异常、板卡温度异常等监测,并告警 集中网管软件 采取神州数码网络LinkManager软件 统一管理

47

6.3 神州数码DCS-3950系列交换机

DCS-3950系列智能安全接入交换机属于百兆接入、千兆上联的二层以太网交换设 备,其在安全、运营等方面极具特色,适用于教育、政府、大中型企业的网络接入。 DCS-3950系列支持堆叠功能,采取无风扇静音设计,并采取固化上联端口的形式, 端口类型组合丰富,为用户组网提供了很大的扩展性和便利性。作为新一代的网络产 品,DCS-3950系列交换机具有强大的安全特性,如强大的 ACL、防攻击能力可有效抵 抗病毒和DOS攻击,保护自身和汇聚、核心设备的安全稳定运行。完全的硬件转发、 以及基于ASIC的ACL机制可以在病毒泛滥时使正常数据不受任何影响。
?

主要特性

? 更完美的端口组合:
DCS-3950-26C 固 化 了 2 个 Combo 千 兆 上 联 口 , 或 光 或 电 , 用 户 可 随 心 选 择 ; DCS-3950-28CT 和 DCS-3950-52CT 在固化 2 个千兆 Combo 的基础上 , 更提供 2 个固化千兆 电口,一共提供4个千兆端口,不仅能为工作组内服务器提供千兆铜缆的直接接入, 还同时为级联、堆叠、上行提供了丰富的端口选择。

? 强大的安全功能
作为新款的L2交换机,DCS-3950系列交换机提供了完整的ACL策略,可根据源/目 的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IP Precendence、时间 范围、ToS对数据进行分类,并运行不同的转发策略。DCS-3950系列的ACL可以在全局 自由分配,从而使得实际有效值大大增加。

? 丰富的网络协议支持
DCS-3950系列交换机支持生成树协议,支持802.1Q、802.1p、802.3ad、802.3x、 GVRP、DHCP等标准。端口聚合功能强大,可提供更高的上联带宽服务。

? 丰富的 QoS 策略
DCS-3950系列交换机可根据端口、802.1p、ToS、DSCP等进行流量分类,并分配 不同的服务级别,支持WRR/SP等调度方式,为语音/数据/视频在同一网络中传输提供 所要求的不同服务质量。同时交换机的端口限速粒度细密,适于网络运营。

? 完整的认证计费解决方案
DCS-3950系列交换机支持完整的神州数码增强型802.1x认证计费解决方案,支持 按交换机端口和MAC地址方式的认证。实施该套方案后,用户在不通过认证的情况下 将无法使用网络,可以有效避免用户私自更改IP对网络的冲击。配合神州数码的安全 接入控制与计费系统DCBI-3000和802.1x客户端,可以实现按时长/流量计费,可以实 现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定,还可以防止代理软
48

件,对合法客户发送通知/广告,进行上网时段控制,基于用户动态实现 VLAN授权和 带宽授权,可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。DCS-3900S 系列交换机是实现网络运营的非常理想的接入交换机。

? 安全的管理界面
DCS-3950系列交换机支持SNMP,支持带内和带外管理,支持 Security IP功能, 可以防止非法用户登陆和修改交换机的配置。支持SSH协议,可以最大限度地保证交 换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方 便简捷。
?

技术指标
DCS-3950-26C 属性 DCS-3950-28CT

项目

1、1、1 DCS-395052CT
24 个 10/100M 端口 + 2 24个10/100M端口+ 2 48 个 10/100M 端口 +2 个千 个千兆光 / 电 / 堆叠复 个 SFP 光 / 电 / 堆叠复 兆光 / 电 / 堆叠复用口 +2 用口。可灵活用作千 用口 +2 个千兆电 / 堆 个千兆电/ 堆叠复用口。 兆上联、级联和堆叠 叠复用口。可灵活用 可灵活用作千兆上联、级 作千兆上联、级联和 联和堆叠 堆叠 32Gbps 48Gbps 9.6Mpps,全线速 4 16K 4K 48Gbps 13.2Mpps,全线速 4 16K 4K

接口形式 固定端口

交换能力

包转发速率 6.6Mpps,全线速 性能指标 最大千兆端 2 口数量 MAC表项 VLAN表项 16K 4K

物理尺寸 相对湿度 物理规格 运行温度 电源 功耗 MTBF

440mm * 171.2mm * 43 440mm * 171.2mm * 440mm * 229mm * 44mm mm 43mm 5% ~ 95% 无凝结 0℃ ~ 50℃ 交流:100~240 V AC,50/60 Hz (内置通用电源) 最大30W >80,000小时

项目 属性

DCS-3950-26C

DCS-3950-28CT

1、1、2 DCS-395049

52CT
堆叠 生成树 组播协议 QoS 支持 支持 IGMP Snooping&Query 每端口4个队列,支持802.1p,ToS,DSCP,端口优先级,支持WRR/SP 等调度方式 支持标准ACL和扩展ACL,支持IP ACL、MAC ACL、IP-MAC ACL,支持 基于源/目的IP地址、 源/目的MAC地址、 IP协议类型、 TCP/UDP端口号、 IP Precendence、时间范围、ToS对数据进行过滤。全局自由分配, 单端口最大ACL数量为1K。如果各个端口的ACL配置相同,则可以为每 个端口配置1K条ACL,即总数可达N*1K条。

ACL

主要特征

增 强 安 全 特 防扫描、防DOS攻击 性 带宽管理 MAC操作 VLAN类型 流控 DHCP 端口聚合 带宽最小为62Kbps,最大为1000Mbps,粒度(步长)最小可达10Kbps 支持端口/MAC自动捆绑,支持MAC过滤 基于端口/802.1Q协议,支持GVRP,支持PVLAN 支持HOL防头包阻塞,半双工背压,全双工IEEE802.3x 支持Client/Server 支持802.3ad,最大可支持8组trunk,每trunk可到8个端口,支持基于 MAC和IP的负载均衡 支持RADIUS 支持

IEEE802.1x 支持基于端口和MAC地址认证。 认证 端口镜象

广 播 风 暴 控 支持,可设定允许广播通过速率 制 管理界面 SNMP 系统日志 CLI、WEB、Telnet v1、v2、v3 支持

配 置 管 理 分 支持 级 SSH 网络管理 RMON MIB接口 支持 1,2,3,9四组 提供

集 中 网 管 软 神州数码LinkManager网管软件 件 Security IP 支持 安全网管功 能 其他 SNTP 支持

50

BOOTP FTP/TFTP

支持 支持

6.4 神州数码运营商级千兆防火墙DCFW-1800E-G:

神州数码DCFW-1800E-G防火墙专为千兆位流量的网络服务运营商,大型数据中心 等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔 特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置 4个10/100/1000M自适应以太网电口,具备4个SFP扩展插槽,最多可扩展至8个千兆接 口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。

`

? 主要特性
? ? ? ? ? ? ? ? ? ? ? 支持千兆位数据流量,满足电信级骨干网需求 模块化结构,可扩展性强 冗余可热插拔部件设计,提供最大的网络正常运行时间 先进的网络安全域概念结构,策略设置更趋灵活合理 集成防火墙、VPN、带宽管理、认证、审计的全方位防护 部署灵活,维护方便、易于管理 千兆级防拒绝服务网关 高可靠性(HA)配置避免单点故障造成的网络瘫痪,保证网络持续运作能力 入侵检测功能可以提供 1500 种以上的攻击检测 可选集成 ASIC 硬件 VPN, 提供千兆级 VPN 解决方案 支持同主流 IDS 联动,支持 SAOP 协议,支持 3D-SMP,支持 IPV6

? 产品规格
技术参数 混合型防火墙 工作模式 网络安全域结构体系 防拒绝服务网关 状态检测、应用代理 路由、透明、NAT 支持 支持
51

带宽管理 内容过滤 入侵检测 高可靠性(HA) 负载均衡 ASIC VPN 最大并发连接数 每秒新建连接数 网络吞吐量(双向) VPN隧道数 VPN拨号用户 策略数

支持 URL、邮件、指令、ActiveX/Java, 诡异木马探测 支持 支持 支持 支持 1,600,000 77,000 8G 10,000 1024 20,000 物理规格

机型 固定网络接口类型 固定网络接口数量 扩展网络接口类型 SFP-SX-L SFP-LX-L SFP-LX-20-L SFP-LX-40-L SFP-LH-70-L SFP-LH-120-L SFP-GT 扩展网络接口数量 Console口 存储方式 MTBF 辐射标准 电源 尺寸/重量 工作环境

2U可上架标准设备 10/100/1000MBase-TX 6个固定以太网接口 SFP接口 1000Base-SX SFP接口卡模块(850nm,MMF,550m),LC接口 1000Base-LX SFP接口卡模块 (1310nm,SMF,10km或MMF,550m),LC接口 1000Base-LX SFP接口卡模块(1310nm,SMF,20km),LC接口 1000Base-LX SFP接口卡模块(1310nm,SMF,40km),LC接口 1000Base-LH SFP接口卡模块(1550nm,SMF,70km),LC接口 1000Base-LH SFP接口卡模块(1550nm,SMF,120km),LC接口 1000Base-T SFP接口卡模块,RJ-45接口 支持4个SFP扩展接口 RJ45 Flash电子盘(32M) 10万小时 符合FCC Part15,Class A, EN55022(CISPR22,Class A) 120~240V,50/60Hz,自适应 高度:8.9cm, 深度:30cm , 宽度:44.7cm;重量:10kg 0℃~50℃;高度3000米;相对湿度10%~90%非冷凝

52

6.5 LinkManager网络管理系统
强劲的网络拓扑识别能力 提供两套视图——物理视图和逻辑视图,可满足用户的不同需求 提供两种设备添加方式,增强用户在自组物理视图时的DIY手段 提供两种视图的层次结构组织 提供网络设备的图形标记,用作设备的属性、特征、状态标识 提供两种的刷新方式,均衡网络与管理员间的负担: 全面的性能管理 能为用户提供被管理设备的各种信息,如系统信息、网络接口信息、 接口利用率、ARP表信息等; 为用户提供的线图与直方图可直观地监测被管理设备的网络活动; 功能全面的MIB浏览器可满足用户自组获取网络设备信息的需求; 支持路由表信息展现; 支持Spanning Tree信息展现; 支持VLAN信息展现; 支持RMON 1、2、3、9组信息展现; 嵌入的工具集可使用户进行 MAC 别名管理、节点信息获取、 Ping 、 Telnet、TFTP及BootP等操作。 机智的事件管理策略 提供三类事件管理及其配置策略: 提供与事件告警等级相关联的事件触发动作,这些动作有:日志、提 示音、消息框及电子邮件; 提供事件存储、 事件分类、事件查询及日志清除等事件日志管理功能, 并可用颜色标明日志中的事件告警等级,便于用户掌握事件的历史信息。 增强的设备管理能力 为通用SNMP设备提供的LinkManager管理主窗口; 为神州数码的设备提供各自的管理窗口及其管理功能; 为用户提供极其逼真的神州数码设备面板图, 可在其上进行点击操作; 可对神州数码设备的性能进行监测与配置。 这些功能有: VLAN、 Trunk、
53

Spanning Tree、交换数据库、路由表、流控、TFTP支持等; 为上述设备提供了端口镜像、冷启、热启、面板操作等控制功能; 集成设备自有的Console口或WEB配置功能。 可靠的平台安全机制 用户级权限管理。将用户分为两种角色:一般用户、超级用户,并为 前者赋予读取网络设备性能参数的权限,后者赋予读写网络设备性能参数 的权限; ACCESS数据库的用户级管理; 用户口令加密保存。 友好的用户界面 灵活的拓扑图发现方式适合用户的不同需求; 采用用户熟悉的Windows界面风格及操作方式; 按照中国用户的思维习惯组织的管理内容; 恰当的产品定位,高度的集成化,将功能统一在同一界面内的设计方 式,使用户免于因功能模块散乱而引起的无所适从。 LinkManager网管软件在设备的管理能力上有了很大的增强, 尤其对于 神州数码设备不仅提供了极其逼真的面板图,还能在其上进行监测和配置 操作。 硬件平台 Intel Pentium及以上的处理器; 64M或以上的内存; 带有SVGA图形卡的800*600显示器; 剩余磁盘空间:50MB以上; 网络适配卡; 光驱 网络平台 安装并配置了TCP/IP协议; 目前1.5版能够为下述指定网络设备提供齐全的设备管理和功能管理: 操作系统平台

54

Microsoft Windows NT Workstation(或Server,Service Pack 6) 4.0版本,必须预先安装。 浏览器 Microsoft Internet Explorer 4.0 及 以 上 版 本 Communicator 4.0 及以上版本,必须预先安装 或 Netscape

6.6 认证计费系统DCBI-3000
神州数码网络有限公司DCBI-3000(EN)是一套具有AAA服务器功能的、可跨平台管理的、 基于专用硬件的、更加成熟稳定的安全接入控制与认证计费综合管理系统。该系统采用标准 Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型协议,来实 现对标准/增强型的802.1x、无线接入、PPPoE、Web认证、VPN接入、L2TP等的认证授权和计 费等功能,并与神州数码增强型802.1x、PPPoE、Web认证的系列设备结合,实现灵活、安全 的用户认证、管理和计费。

DCBI-3000(EN)不仅可以实现标准的AAA (认证、 计费、 授权) 功能, 而且与传统的Radius Server 有差巨大的区别: ? 功能强大的安全接入管理功能:不仅可实现认证的绑定、防代理上网,更可以实现基于 安全交换机的 ACL 转发控制功能,从而防止内网中假冒地址等方式的攻击、扫描、ARP 病 毒、冲击波病毒等对网络造成的影响。 ? 灵活多样的计费功能:提供后付、预付等计费业务,可按流量、时长等进行计费。计费 类型达 13 种之多,每种类型可衍生也多种计费策略。 ? 支持二次转一次认证的专利技术:可在接入层交换机上基于 SCP 协议实现安全访问控制 和 ACL 规则,同时在对外网的访问上实现计费功能。做到内网只做安全控制不计费、外

55

网访问计费的功能。而用户只需一次上网认证过程。 ? 基于授权组的管理策略:可通过授权组功能实现对用户、用户组实现带宽、VLAN 等的灵 活授权功能。 ? IP、MAC 地址管理功能:可对接入主机实现与用户帐号无关的 IP-MAC 绑定功能、支持 IP 和 MAC 的黑名单功能,同时提供强大的类似于 DHCP Server 的针对用户的 IP 地址授权功 能和 IP 地址池管理功能。

?

产品特点

除上面的特点外,DCBI-3000(EN)还具有以下特点:

1.

快速高效的并发认证计费处理能力
每秒可处理认证计费报文的能力为 1500-2000 个用户/秒。 在开户 2 万人的情况下,实

测处理认证的能力最小值为 1538 个用户/秒。而市场上的一般同类产品的处理能力在 20-50 个用户/秒。

2.

海量用户处理能力
由于 DCBI-3000 在快速并发能力和稳定性上的优势,使得 DCBI-3000 对海量用户进行

认证计费管理成为可能。本系统可支持多达 10 万用户以上的开户量,而处理效率却丝毫不 受影响,与其他同类产品的开户量和处理效率形成鲜明对比。

3.

支持主务的高可靠方式运行
DCBI-3000作为用户的核心业务处理系统,一旦出现软、硬件故障,将直接影响到整

个网络的用户是否能上网。为达到整个系统的安全可靠运行,DCBI-3000支持两套系统以主 备的方式运行,可以实现主备数据的自动同步,并且在主DCBI-3000出现故障时,整个网络 系统自动切换到备用DCBI-3000上进行认证、授权与计费,不影响网络的运行。

4.

实现全方面的用户安全接入访问控制和统一身份认证及 AAA 平台

56

可实现对802.1x交换机、无线接入、PPPoE、Web认证、VPN接入、L2TP等多种接入方 式的安全接入认证,支持标准的Radius协议,只要用户的接入设备支持标准的Radius,就能 实现与DCBI-3000的组网对接。对于一个用户网络,完全可以实现邮件系统、VPN远程接入、 无线AP接入、内网认证的统一身份认证平台。实现认证(Authentication) 、授权 (Authorization) 、计费(Accounting)的AAA平台。

5.

与 NetLog 联动形成 4A 机制
DCBI-3000与接入设备不仅可形成统一身份认证、授权、计费的AAA平台,还可以与

NetLog上网行为日志联动, 实现上网行为日志不权可记录到源IP地址, 还可以将源IP地址将 上网者的用户名对应起来, 防止因IP盗用而不能将上网行为日志对应到人, 实现更加精确的 审讯功能(Audit) ,从而形成网络安全的4A功能。

6.

与 IDS 联动实现内网的“可控制”安全管理
IDS只能发现内网的安全问题,但不能对内网发起攻击或存在问题的终端或用户隔离

到网络之外。将DCBI-3000作为全网的安全统一指挥中心,可以与IDS联动,根据接入用户问 题的严重程度,将问题用户进行各种控制,即可将问题用户:强制下线、强制下线并在一段 时间内禁止上网、强制下线并永远禁止上网直到管理员允许其上网等安全控制功能。

7.

与校园网一卡通联动
DCBI-3000作为网络运营计费的中心,可与校园网一卡通联动,实现上网者缴费的联

动功能, 用户不需要再用现金的方式找老师交上网费, 而可以通过一卡通自动将上网费用划 到上网认证计费系统中。

8.

跨平台和多点远程管理能力
DCBI-3000的管理工具提供了跨平台的 此外,还可以将DCBI-3000管理工具安装在

管理能力,无论对 DCBI-3000的管理用机是 多台远程计算机上,实现通过网络对DCBI-3000 Windows、Linux、还是Solaris等Unix系统, 服务器的远程多点并发管理能力。 保证管理员在 都可以实现风格界面一致的 DCBI-3000认证 身处异地时,对DCBI-3000的管理操作。 计费服务器的管理。
57

58

9.

丰富的在线用户管理能力
DCBI-3000对在线用户提供的强大的管理功能,不仅可以将不受欢迎的用户进行强制下 线操作,而且还可以对指定的单独用户、指定的用户组、指定的交换机上的所有用户、指定 的计费类型中在线用户发送实时消息通知功能。 这种方式极大地方便了网络运营者与终端用 户之间的沟通。比如:活动通知、广告发布、催缴费用等。

10.

绑定数据自学习和批量用户的绑定设置功能
在用户上网后,DCBI-3000可以通过自学习用户的参数的功能,学习到用户最近一次上 网的参数,这些参数包括用户的:用户IP、用户MAC、用户的VLAN、用户的边的交换机IP、

59

用户所边交换机的端口号等。 然后通过批量用户的绑定功能来用这些数据对用户进行认证的 绑定设置。

这样做的好处是可以不用对成千上万的用户的MAC、IP等认证绑定数据进行手动设置, 而完成可以通过简单的几步设置操作来全部分完成绑定数据的提取及设置工作, 极大地减轻 了网络管理人员的工作量。

11.

上网时间段的控制功能
对于网络运营来说,必须能够对上网用户何时能够上网何时不允许上网进行控制。 DCBI-3000提供了强大的上网时段控制功能。对于校园网来说,用此功能可以禁止学生在学 习时间段上网看电影、聊天等做一些与学习无关的活动。

12.

更加安全的用户 WEB 自服务功能
用户可以通过DCBI-3000提供的“用户WEB自服务”模块进行多种操作(详见后面) 。

用户WEB自服务功能提供上网上银行级的安全特性,用户通过Web网页发出的报文,都要 使用Web server发来的随机数进行MD5等多种方式进行安全加密,并在用户WEB自服务的服务 器上进行安全验证, 这种随机数加密的方式绝对地保证了用户数据的安全, 从而绝对防止了 网络攻击者通过监听、截包、假冒、篡改报文来破坏用户数据。

13. 方便的用户自开户注册功能
用户Web自服务功能中的“用户自开户注册”功能,可以极大地减轻上网用户开户时的 工作量。申请上网的用户可以通过该功能在Web网页上将自己的用户名、密码、MAC等信息首 先注册到DCBI-3000的用户数据库中,然后到网络中心申请开户,管理人员不需要再次输入 该用户的相关信息就可以将该用户开通。极大地减轻了网络管理人员的工作量。

60

?

DCBI-3000(EN)产品规格
项目 硬件规范 属性 外观尺寸 网络接口 串口 工作环境 电源 硬件性能 软件规范 用户数许可 规格
433mm x 440mm x 44.5mm,2U高度

2个10/100/1000M电口 1个串行接口 温度: 0-50℃、相对湿度:5-95%,不凝结 120V~240V交流电源 支持10万用户的管理能力,认证处理能力1500次/秒 自带2000个用户许可,扩展用户数可通过购买License获取

61

第七章 售后服务承诺、培训
神州数码(中国)有限公司是由原联想科技发展有限公司、联想集成系统有 限公司、联想网络有限公司合并而成的联想第二大品牌公司。神州数码(中国) 有限公司深知售后支持服务的重要性,长期以来一直注重与用户发展互动关系, 不断地提高自身的技术力量和为用户的服务质量, 为国内广大用户提供专业化的 产品服务、系统集成服务、技术服务、项目管理服务、软件开发服务、人员培训 服务、技术咨询服务等,并拥有一支专业化的技术服务队伍。神州数码(中国) 有限公司的技术服务质量保证: ●专业化的技术服务队伍; ●技术服务遵循ISO9001管理标准; ●全员上岗签定岗位责任书; ●严格按合同规定的服务条款执行; ●每次技术服务记录单上都必须有用户对服务质量的签署意见,并以此对 技术服务作考评; ●全部服务留有文档备查。 神州数码(中国)有限公司深刻理解服务的内涵,了解服务对公司,对用户,对 市场的影响,公司在三年前就提出了鲜明的口号:“我们的产品是服务”。经过 多年的积累和探索,神州数码(中国)有限公司的服务体系日臻完善,一支专业 化的IT服务队伍已经踏上专业化服务的道路。

7.1 售后服务形式
有了严谨的售后服务体系、 严格的售后服务制度、 积极的售后服务响应模式, 同时在各个售后服务响应中心职责明确的前提下,如何将售后服务工作落到实 处,就必须有以下具体的售后服务措施作保障,并将措施具体实施。

7.2 响应服务模式
神州数码网络有限公司可以根据具体项目的实际情况,为用户提供优质的7
62

×24热线响应服务模式。7×24热线响应服务模式,用户可以通过不同方式向用 户服务响应中心提出服务申报。如:通过电话、传真、信函、E-mail、来访。用 户服务中心由专人值守,在下班后转接至无线寻呼和手机,由用户中心值班人员 佩戴。 针对本投标项目的售后服务响应模式,我们目前提供5×8热线响应服务模式,我 们将根据用户的要求将5×8热线响应服务模式延长至7×24热线响应服务模式。

7.3 技术咨询服务
在本项目合同签订后,我们将提供给用户一份详细的技术咨询联系办法,在 整个保修(质保)期内,用户可以随时通过电话、传真、书函以及电子邮件等各 种灵活的通讯手段向神州数码网络公司进行技术咨询。

7.4 不定期的走访
神州数码网络有限公司对本投标项目采用专人(公司管理部门的工作人员) 不定期 (在设备的质保期内) 走访方式, 调查设备及系统的日常使用和维护情况, 听取用户对本公司售后服务工作的的意见和建议, 并依此作为公司服务人员的综 合评定和奖惩的重要依据。

7.5 远程登录服务
如果用户在系统使用过程中遇到一些基本的系统问题 (针对计算机网络系统 而言),我公司的支持工程师或专家可以通过远程拨号方式登录到用户设备上来 查看问题的所在,并指导用户排除故障的方式方法。这种方式可以以更快、更及 时的方式达到亲临现场解决问题的效果。(远程登录服务只为系统集成项目提 供。)

7.6 现场技术支持
对于本项目在设备出现故障,用户的系统管理员、远程登录和电话技术支持 不能及时解决时,我们将以用户实际利益为重,及时提供工程师到用户现场进行
63

服务。在本项目的维护期内(产品质保期)根据用户需要,我们将安排工程师在 第一时间赶到用户现场解决问题。

7.7 重要设备备件
根据我们以往大型工程项目的售后服务经验, 设备或零部件的更替和增加是 非常关键的问题,我们将针对本项目向设备制造商申请足够的设备或零部件,以 便更及时、更快捷地为用户提供服务。 以上若干种支持与服务措施是以神州数码网络有限公司客户服务中心的组 织结构为依托,全方位服务响应方式为主线,多种灵活的服务方式相互渗透、紧 密结合成为完整统一的支持维护体系。 这种方式经多个大型工程项目的实际运作 检验,已被认为是高效、可行、优秀的支持与服务解决方案。

7.8 售后服务承诺
(1)根据标书要求,神州数码网络公司承诺对硬件产品提供三年保修服务。 (2)在保修期内,神州数码(中国)有限公司给予下列服务响应承诺: 提供5×8的售后服务热线响应模式, 对任何地点用户所反映的问题在24小时之内 积极响应,尽快解决系统故障。 (3)神州数码(中国)有限公司为本院的网络技术操作人员和网络技术管理人 员提供计算机网络系统知识及设备管理维护的培训。 (详见:第5部分人员培训) (4)我们将确保所供硬件设备的完整性和可用性,保证硬件设备在安装调试后 能够正常投入运行。并承诺对所提供的硬件设备不满足要求负全部责任。 (5)其它承诺 神州数码网络有限公司承诺:在本投标项目中标后,严格履行标书中的各项要求 和合同中的各项条款,并担负由于本公司原因在履行合同过程中的全部责任。
技术支持中心

神州数码网络有限公司在北京、上海、广州、成都、武汉、西安、沈阳和济南建 立服务和维修换件平台,提供完整的产品备件,提供第一时间产品维修服务和用 户及时的技术服务。
64

目前在北京建立网络实验室具有多名资深的技术工程师, 并且已经纳入神州数码 网络有限客户服务体系,对于用户的复杂技术问题,将通过神州数码网络有限的 服务资源中得到有效的支持服务。 神州数码在武汉的技术支持中心,可以提供本地化的贴身服务,在第一时间及 时全面的为用户提供全方位的技术支持和售后服务。
换件维修库和备件库

神州数码网络有限公司在各平台建立换件维修库和备件库, 提供完整的产品换件 维修部件和产品支持备件库, 以有效的支持集成商和代理商对用户提供快速的支 持维护服务。 可针对本项目所应用的设备型号,在备件库里长期保留备品备机,保证学院网络 能够稳定可靠的运行,一旦有故障发生马上更换新设备。

7.9 人员培训
培训方式:

在用户方产品使用单位内提供的现场培训。 由北京培训中心提供的集中培训; 培训地点: 神州数码网络学校或神州数码网络学校授权培训中心或者用户指定的 地点。
培训内容:

网络基础知识 全线产品介绍(包括网易通、防火墙、路由器、可网管交换机系列、网管软件) 网管交换机系列产品安装调试 可以根据要求安排课程(包括网络设计、IP地址规划、用户管理)。 根据不同课程,通过考试将获得神州数码网络公司颁发的相应认证证书。

7.10 神州数码网络学大学
神州数码网络有限公司是国内领先的 Internet 和 Intranet网络互联设备及 解决方案提供商。 公司产品涵盖局域网 (LAN) 、 广域网 (WAN) 、 无线 (Wireless) 、 宽带(Broadband)等领域的全线网络产品,公司以“做最负责任、持续创新的
65

专业网络公司”为宗旨,同时为用户提供全面网络解决方案及服务。 认证体系

神州数码网络学校是神州数码网络有限公司的网络技术培训中心, 是专业网 络工程师的培训基地,旨在培训网络规划工程师、网络工程师、网络调试专家等 网络专业人才,帮助中国企业提升网络应用水平。神州数码网络学校拥有一流的 教学设备,真实的网络环境,经验丰富的培训讲师,完善的认证体系,遍布全国 的培训网点。 神州数码网络学校将为每一位通过网络学校认证培训的学员颁发认 证证书,此证书代表着当今网络界对一名工程师的专业技术水准所给予的认可。 神州数码网络学校面向全社会,以培训专业网络工程师为己任。我们希望:通过 在神州数码网络学校中的学习,您可以解决如何合理地建立符合自己要求的网 络、如何管理好自己的网络、如何调试复杂的网络设备等迫在眉睫的问题,帮助 您从容面对今后无处不在的网络挑战。 神州数码网络学校认证课程简介 神州数码认证网络销售工程师(Digital China Certified Sales Engineer) 神州数码认证网络设计工程师(Digital China Certified Design Engineer) 神州数码认证网络工程师(Digital China Certified Network Engineer) 神州数码认证网络专家(Digital China Certified Network Specialist) 神州数码多层交换技术结业证书(MultiLayer Switching Technology)
66

神州数码路由技术结业证书(Internet Routing Technology) 神州数码认证网络讲师(Digital China Certified Network Instructor) 神州数码认证高级讲师(Digital China Certified Senior Instructor)

第八章

网络应用

长郡中学校园网建设主要是为了实现整个校园内部教学、科研、交流和办公 需要,全面提升整个学校信息化建设的整体水平,提升学校整体的科研、教学、 管理效率。归纳起来校园网建设的需求主要有: (1)实现校园网内部各楼等单位实现联网。 (2)实现校园网内部所有用户的安全接入,保证整个校园网内部网络用户 高速、安全接入,对一些非法用户进行拒绝。 (3)建立高速、安全、高效的网络基础支持平台,为实现“数字化校园” 创造条件。 (4)实现教学管理系统现代化;

8.1 管理信息系统
管理信息系统主要是办公自动化信息系统,校园网中的办公自动化系统应 当具有较高的实用性、可扩充性和易维护性,系统应当具有较快的响应速度,应 用系统应面向网络用户,具有友好界面且易于操作,支持WEB方式的查询,设计 文档完整,并包括教务、学生、人事、财务、后勤以及综合查询等各种管理信息 系统和日常行政事务管理系统。

8.2 图书管理系统
图书管理系统应当提供本校藏书、期刊及其它文献的联机检索功能并支持 基于WEB方式的在线查询和借阅功能,同时还应提供国内外主要的网络数据库的 查询,提供光盘、缩微和其它视听资料等文献资源的使用。另外,在经费允许的 情况下,应当开始研究和开发数字化图书馆系统,使更多的国内外用户能够共享

67

我校丰富的法学信息资源。

8.3 多媒体教学系统
学校的多媒体教学具有一定的基础,但由于经费和技术原因发展较慢。在校 园网二期工程中,学校计划加强多媒体教学应用系统的建设,并与多媒体应用结 合起来,开展校园VOD、视频会议、优秀教师授课网上实况转播,以及校园IP电 话等应用服务。

8.4 远程教育系统
学校可以采用双向实时群播以及单向异步授课等多种方式开展远程教育应 用,建立网上授课、答疑、辅导、作业、考试以及成绩查询等应用系统. 远程学 员在网上实时或随时观看老师的讲解并能在网上提问, 并对个别疑难知识直接在 网上进入相应的知识网页进行查询和答疑。遇到实验课程,还能通过网络预订远 程实验室的实验时间,通过因特网进入远程实验室做实验。每个学期末,通过网 络参加事先预订的网上考试,即时得知考试成绩,以决定是否需补考或下学期选 修其他课程。

8.5 网上招生
传统院校招生通常要耗费学校大量人力物力,投资大而招生范围有限。电子 教育的网上招生应用,即通过教育网和互联网对内或对外提供新学期的培训课 程,以快速、实用、简便的形式,为校内学生及社会上继续教育人员提供了全面 选择,并可以通过网络进行报名、面试、考核、录取等一系列招生程序,不但有 效迅速,而且可以最大范围的选择优秀学生。

8.6 电子教育(E-Learning)
建造一个完善的校园骨干网络为全面实施学校教育的广泛应用提供了强有

68

力的基础。神州数码全面网络解决方案在保障传统数据正常稳定传输的前提下, 针对学校现在的实际需求,以及未来教育的发展,提供了多服务多应用的网络平 台。 电子教学(e-Learning)的中心是以学为本和终身教育, 是面向现代化教育的 完整解决方案,包括学校内部的课程教学、资质认证、资源共享及新生培训,以 及外部远程教育、网上招生等等。实施电子教学与传统教学的最大区别是,学生 (即学习者)由过去的以老师为中心,转变为以学生自身为中心的全新的学习模 式。每一个学习者,可以有自己虚拟的老师、虚拟的同学、虚拟的图书馆、虚拟 的资料库,甚至于虚拟的考场,同时这一切均可按照学生的需求随时调整调度。 (如下图)

电子教学是一套崭新的教育模式,能够以最小的投资、最大的资源和最高的 效率,为更多的学习者提供各种培训教育。

8.7 新生培训
新学生和新教师可在入校的第一天通过教育网看到学校的介绍、 各系组织结

69

构图,各级领导的讲演录像,新班级和工作岗位的录像培训,全部在计算机网络 上完成,快速了解全校及自己班级的情况,开始正规的学习与工作。

8.8 图书资源共享
传统的图书馆需要大量的空间收藏大量书籍,专门的人员维护、保养和出租 图书,还要定期购买新书,以满足信息更新的需要。如果通过教育网,一切将变 的轻而易举,而又面面俱到。基于WEB的虚拟图书馆可以网罗世界各种学科、各 种专业的电子图书资料,分门别类地存储在中心数据库内,让学生通过桌面PC, 以浏览器方式随时随地查阅信息。
另外,可以通过网络将各个的图书馆连接起来,在网页上提供检索图书、借阅图书等服 务,提高图书管理租借效率,实现图书资源的共享。

8.9 期刊上网
通过网络提供电子期刊服务,即可在线浏览内容,又可网上订购各类期刊杂 志,实现统一化、系统化的科学管理,尽可能降低成本,提供迅速快捷的全面服 务。

8.10 多媒体课件共享
多媒体课件通常是教学演示中不可缺少的重要部分, 各学科间的多种课件沟 通共享, 既可充分利用学校多年积累的课件资源, 又可丰富教学过程的知识范围, 提高学生对所学课程的兴趣和积极性。

8.11 IC卡校园一卡通系统
智能卡校园应用系统是基于校园网络的智能卡(以下简称IC卡)应用系统,以 校园网为依托,实现在校园内部的电子货币、身份识别、综合结算等诸多功能。 有力地推进了学校内部的网络化、信息化过程,为学校内部的集中管理与分散操

70

作、高效运作提供了有效的工具。 学校领导、教师员工、在校学生人手一张IC卡。IC卡作为身份识别的手段, 可用于考勤、学生选课和查询成绩、借阅图书、学校医务所挂号、查询网上资料 等功能;作为校园内部的电子货币形式,可以用于食堂、校园内小卖部的消费, 公共机房上机上网, 缴纳住宿费学杂费、 以及其他各种为学生和教师服务的项目。 现金集中于学校财务部门,金额记入所有者的IC卡。 该系统使用大存储量智能卡,安全性好,使用方便,符合IC卡国际标准。

71

72

73

产品清单 序 号 产品型号 产品描述 数量

1

2 3 4 5

6

7

8

1

2

网络中心设备 10 插槽核心路由交换机机箱(最多 3 个 电源,N+1 冗余,标配 1 个 DCRS-6808(R3) MRS-PWR-B1-AC 交流电源,3 个热插拔风 扇盘,不含管理模块) 220V 交流电源模块(600W),适用于 MRS-PWR-B1-AC DCRS-7608(V1)和 DCRS-6808 及以上版 本 MRS-6808-M(R3) DCRS-6808 管理模块 DCRS-6800 增强系列 16 口 1000Base-X MRS-6800-8GX16GB (SFP)+8 口千兆 Combo(SFP/GT)接口 模块,基于 ASIC 的硬件线速 IPv6 1000Base-SX SFP 接口卡模块 SFP-SX-L (850nm,MMF,550m),LC 接口 运营商级千兆线速防火墙 性能参数:吞吐量 8G、并发连接数 1,500,000、每秒新建连接数 77,000 DCFW-1800E-G 物理参数:内置 4 个 10/100/1000 以太 网电口,支持 4 个 SFP 插槽,接口模块类 型支持单模、多模光纤,千兆电口 基础版插件式网络管理系统软件, 4.X 版 LinkManager-40-B-25N 本,25 节点,Windows XP/2000 平台 DCBI-3000 接入认证计费综合系统 V1.0(EN) (硬件,实现 AAA 服务器及扩展功能)。 功能特性:包含 2000 用户,最大支持 10 万用户。支持增强 802.1X、增强 Web、 DCBI-3000(EN) PPPoE 等认证方式, 后台运行在 Linux 服 务器上,管理前台可运行在 Windows、 Linux 等系统上,支持 MySQL 数据库。 物理特性:带两个千兆网络电口,硬件 认证加速处理, 2U 高可上机架, (CPU: P4 2.8G,MEM:1G,HardDisk:160G) 汇聚层设备 万兆 IPv6 路由交换机(24 口 10/100/1000Base-T+4 口千兆 DCRS-5950-28T SFP(Combo)接口+2 个万兆扩展插槽+2 口万兆堆叠,基于 ASIC 的硬件线速 IPv6) SFP-SX-L 1000Base-SX SFP 接口卡模块

1

1 1 1 12

1

1

1

5

5
74

1

DCS-3950-28CT

2

DCS-3950-52CT

3

SFP-SX-L

(850nm,MMF,550m),LC 接口 接入层交换机 可堆叠智能安全交换机(24 口 10/100Base-TX,固化 2 个千兆 Combo(SFP/GT)接口和 2 个 10/100/1000Base-T 千兆接口) 可堆叠智能安全交换机(48 口 10/100Base-TX,固化 2 个千兆 Combo(SFP/GT)接口和 2 个 10/100/1000Base-T 千兆接口) 1000Base-SX SFP 接口卡模块 (850nm,MMF,550m),LC 接口 合计价格

31

71

7

75


校园文化建设规划和实施方案.doc

校园文化建设规划和实施方案 一直以来,学校文化成为了学校管理中的高频点击率 词...长郡中学是一所具有悠久历史和光荣革 命传统的省重点中学,该校从重视整理和研究...

长沙市长郡中学投标 精品.doc

长沙市长郡中学 湖南三湘招标代理咨询有限公司 根据贵方招标编号为 SXBC2007-063 的长沙市长郡中学八方小区新校岩土 工程详细勘察工程招标文件,遵照《湖南省建设工程...

锐捷无线工厂及云办公方案_图文.ppt

锐捷无线工厂及云办公方案_计算机硬件及网络_IT/...行业用户信赖的伙伴互联网:深度参与BAT数据中心建设 ...中学 长沙市长郡中学 海南陵水中学 8000 所学校 ...

长郡中学河西新校区规划与建筑设计_论文.pdf

长郡中学河西新校区规划与建筑设计_建筑/土木_工程...… … D自 长郡 中学 河 西新 规 划与 ...维普 中国最大最早的专业内容网站 17796607 928527206...

长沙市长郡中学学习交流心得.doc

23 日长郡中学开放时间为 9 点, 来到学校,可真是人山人海,来至全国各地的老

绿色校园建设实践论文_图文.doc

绿色校园建设实践论文_军事_高等教育_教育专区。文章...11 2.4.2 长沙梅溪湖长郡中学 ......目前教育片区路网已基本拉通,水、 电、气、通信等市政设施全部到位...

长郡中学迎接省级示范性高中督导评估自评报告.doc

三是制定实施方案。将规划的实施进行了流程化和日程...基本实现了选题、管理、评价和结 题的网络化管理。...4)定联系平台 ①长郡中学校园网教育处的信息平台,...

长郡中学运动场改造及地下配套设施建设项目环境影响报....doc

长郡中学运动场改造及地下配套设施建设项目环境影响报告表_调查/报告_表格/模板_...由于原有建筑未建地下停车库,办公楼及门前道路又明令禁止停车, 目前学校附近...

【word】湖南省2017届高三长郡中学、衡阳八中等十三校....doc

湖南省 2017 届高三长郡中学、衡阳八中等十三校重点...洪仁具有资本主义色彩的建国方案 D.孙中山建立资产...对租界分析错误的是 A.客观上促进了上海城市建设的...

长郡中学2019届高三第一次月考--政治试卷_图文.pdf

长郡中学2019届高三第一次月考--政治试卷_政史地_...页 第 学校 班级  创新是引领发展的...营造良好的网络舆论生态# 抵制历史虚无主义 $ 三* ...

远程教育商业计划_图文.ppt

发展规划 投入和回报 成功案例XXXX远程学校 现代...各合作学校辅导教师按长郡中学的标准答 案批阅试卷,...网络服务器 麦克风组地面专线 实施方案网络直播结构...

洞口二中2011-2012学年信息化工作计划.doc

2012学年信息化工作计划_工作计划_计划/解决方案_...以信息化应用平台建设为切入点,以教师专业化能力培养...充分利用网络合作学校(湖南长郡中学)的资源,为学生提供...

长郡中学:做最懂郡园的长郡人,记录长郡发展的一路风景....doc

长郡中学:做最懂郡园的长郡人,记录长郡发展的一路风景 学校新闻中心成立大会发

长沙四大名校最终稿件_图文.doc

长郡芙蓉中学长郡芙蓉中学为公办初级中学,是芙蓉区斥资近亿元,建设的一所高规格...学校有完善的校园网,所有教室、功能室 等场所都能通过校园网、教育城域网连接...

2017届湖南省长沙市长郡中学高三月考试卷(六)文科综合....doc

为打击电信网络诈骗提供法律支撑 ②履行好组织经济建设的职能,对电信网络运营商...湖南省长沙市长郡中学20... 暂无评价 12页 免费 【全国百强校】湖南省长.....

申报材料.doc

学校建设资金投入不少于 600 万,学校面貌焕 然一新,新田径场投入使用,教师办公...2011 年 5 月,九年级学生夏志、孙拓、李韩宇三人 被长郡中学(本部)实验班...

长郡中学冲刺2作文讲评_图文.ppt

湖南长郡中学临考冲刺(二) 作文讲评 原题再现 22.(原创)阅读下面的材料...试想,若是学生在网络上接触 了恶搞文化的内容,那么他在课堂上遇到相关...